Пароль по умолчанию на контейнер сбис. PIN-код для токенов: пароль с особыми правилами. Как самостоятельно продлить срок действия ЭЦП

По желанию вы можете сменить пин-код.

Для этого:

Зайдите в меню «Пуск» — «Панель управления» — «Панель управления рутокен».
Нажмите кнопку «Ввести PIN-код», введите ваш текущий пин-код, нажмите ОК.
Во вкладке Управление PIN-кодами нажмите кнопку «Изменить», введите новый пин-код.

Не забывайте новый пин-код, потому что его никто не сможет подсказать вам.

JaCarta SE/LT

Чтобы сменить пин-код Пользователя части PKI\ГОСТ:

1.В Едином клиенте JaCarta нажмите на кнопку «Переключиться в режим пользователя»

3. Введите Текущий PIN-код пользователя, Новый PIN-код пользователя, подтвердите его и нажмите на кнопку «Выполнить»

4. Должно появиться сообщение об успешном изменении пин-кода.

Чтобы сменить пин-код Администратора части PKI\ГОСТ:

1. В Едином клиенте Jacarta нажмите на кнопку «Переключиться в режим администрирования»

2. Выберите нужный раздел PKI\ГОСТ

3. Нажмите на кнопку «Сменить PIN-код Администратора»

4. Введите старый пин-код Администратора, новые пин-коды Администратора и нажмите на кнопку «Выполнить».

5. Должно появиться сообщение об успешном изменении пин-кода.

Токены, электронные ключи для доступа к важной информации, приобретают всю большую популярность в России. Токен сейчас – не только средство для аутентификации в операционной системе компьютера, но и удобное устройство для хранения и предъявления персональной информации: ключей шифрования, сертификатов, лицензий, удостоверений. Токены надежнее стандартной пары “логин/пароль” за счет механизма двухфакторной идентификации: то есть пользователь не только должен иметь в наличии носитель информации (непосредственно сам токен), но и знать PIN-код.

Основных форм-факторов, в которых выпускаются токены, три: USB-токен, смарт-карта и брелок. Защита при помощи PIN-кода чаще всего встречается в USB-токенах, хотя последние модели USB-токенов выпускаются с возможностью установки RFID-метки и с жидкокристаллическим дисплеем для генерации одноразовых паролей.

Остановимся подробнее на принципах функционирования токенов с PIN-кодом. PIN-код - это специально заданный пароль, который разбивает процедуру аутентификации на два этапа: присоединение токена к компьютеру и ввод собственно PIN-кода.

Наиболее популярные модели токенов на современном электронном рынке России – Рутокен, eToken от компании “Аладдин”, и электронный ключ от компании “Актив”. Рассмотрим наиболее часто задаваемые вопросы касательно PIN-кодов для токена на примере токенов этих производителей.

1. Какой PIN-код используется по умолчанию?

В таблице ниже представлены информация о PIN-кодах по умолчанию для токенов Рутокен и eToken. Пароль по умолчанию отличается для разных уровней владельцев.

Владелец	Пользователь	Администратор
Рутокен	12345678	87654321
eToken	1234567890	По умолчанию пароль администратора не устанавливается. Может быть установлен через панель управления только для моделей eToken PRO, eToken NG- FLASH, eToken NG-OTP.
JaCarta PKI	11111111	00000000
JaCarta ГОСТ	Не задан	1234567890
JaCarta PKI/ГОСТ	Для PKI-функционала: 11111111 При использовании JaCarta PKI с опцией "Обратная совместимость" - PIN-код - 1234567890 Для ГОСТ-функционала: PIN-код не задан	Для PKI-функционала: 00000000 При использовании JaCarta PKI с опцией "Обратная совместимость" - PIN-код не установлен Для ГОСТ-функционала: 1234567890
JaCarta PKI/ГОСТ/SE	Для PKI-функционала: 11111111 Для ГОСТ-функционала: 0987654321	Для PKI-функционала: 00000000 Для ГОСТ-функционала: 1234567890
JaCarta PKI/BIO	11111111	00000000
JaCarta PKI/Flash	11111111	00000000
ESMART Token	12345678	12345678
карта IDPrime	0000	48 нулей
JaCarta PRO/JaCarta LT	1234567890	1234567890

2. Надо ли изменять PIN-код по умолчанию? Если да, то в какой момент работы с токеном?

3. Что делать, если PIN-коды на токене неизвестны, а PIN-код по умолчанию уже сброшен?

Единственный выход - полностью очистить (отформатировать) токен.

4. Что делать, если PIN-код пользователя заблокирован?

Разблокировать PIN-код пользователя можно через панель управления токена. Для выполнения этой операции необходимо знать PIN-код администратора.

5. Что делать, если PIN-код администратора заблокирован?

Разблокировать PIN-код администратора невозможно. Единственный выход - полностью очистить (отформатировать) токен.

6. Какие меры безопасности предприняты производителями для снижения риска подбора пароля?

Основные пункты политики безопасности для PIN-кодов USB-токенов компаний “Аладдин” и “Актив” представлены в таблице ниже. Проанализировав данные таблицы можно сделать вывод, что eToken предположительно будет иметь более защищенный пин код. Рутокен, хоть и позволяет задавать пароль всего из одного символа, что небезопасно, по остальным параметрам не уступает продукту компании “Аладдин”.

Параметр	eToken	Рутокен
Минимальная длина PIN-кода	4	1
Состав PIN-кода	Буквы, цифры, специальные символы	Цифры, буквы латинского алфавита
	Больше или равно 7	До 16
Администрирование безопасности PIN-кода	Есть	Есть
	Есть	Есть

Важность сохранения PIN-кода в секрете известна всем тем, кто использует токены в личных целях, хранит на нем свою электронную подпись, доверяет электронному ключу информацию не только личного характера, но и детали своих бизнес-проектов. Токены компаний “Аладдин” и “Актив” обладают предустановленными защитными свойствами и вместе с определенной долей предосторожности, которая будет проявлена пользователем, снижают риск подбора пароля до минимума.

Программные продукты Рутокен и eToken представлены в различных конфигурациях и форм-факторах. Предлагаемый ассортимент позволит вам выбрать именно ту модель токена, которая наиболее отвечает вашим требованиям, будь то

При генерации запросов на сертификат и ключей в программе "АРМ генерации ключей" , выходит окошко, где эта программа (а точнее Крипто Про) предлагает ввести пароль (рис. 8). Предлагает, но не заставляет же. Если поля оставить пустыми, то никакой пароль установлен не будет. Но пользователи вероятно думают по другому и, конечно же, заполняют эти поля. Всё бы ничего, но потом они благополучно забывают какой пароль они вводили при генерации, и когда первый раз приходится подписывать что-то, то человек впадает в ступор. Потом, конечно же, следует звонок в казначейство с просьбой помочь.

Сегодня, в этой статье, я расскажу как можно удалить или изменить этот пароль. Существует два варианта удаления пароля. Первый - когда пользователь помнит старый пароль, второй - когда не помнит. Начнем с первого. Как я уже упомянул в начале статьи, за пароль на ключевой контейнер отвечает программа Крипто Про. Давайте запустим её, зайдя в панель управления компьютером (рис. 1):

Чтобы у вас открылось такое же окно как у меня, в правом верхнем углу окна выберите режим просмотра "Мелкие значки". Запускаем Крипто Про, открывается окно (рис. 2):

Нажимаем на вкладку "Сервис", чтобы попасть в следующее окошко (рис. 3):

Внизу окна есть кнопка с надписью "Изменить пароль". Нажмем на нее и попадем в следующее окно (рис. 4):

Тут нам предлагают выбрать ключевой контейнер по кнопке "Обзор". Предварительно не забудьте вставить в компьютер флешку, или другой носитель в вашими ключами. При нажатии на кнопку, откроется следующее окно (рис. 5):

Выбираем нужный нам ключевой носитель и жмем "ОК". Откроется следующее окно (рис. 6):

Убеждаемся, что у нас действительно выбран нужный нам контейнер закрытого ключа, и жмем кнопку "Готово", после чего откроется окно ввода пароля (рис. 7):

Сюда надо ввести пароль, который вы вводили при генерации ключей и запроса на сертификат в программе "АРМ генерации ключей" . Подразумевается, что вы его помните:). Вводим, жмем "ОК", галочку "Запомнить пароль" ставить не надо, и попадаем в окно ввода нового пароля (рис. 8):

Тут пароль можно не только изменить, но и удалить его, если оставить поля пустыми. Если же вы хотите изменить пароль, то придумайте и введите его два раза.

Со случаем, когда пользователь помнит старый пароль на контейнер, мы разобрались. Давайте попробуем удалить пароль с контейнера, когда он благополучно забыт. Тут нам поможет утилита csptest.exe , которая входит в комплект установки программы Крипто Про начиная с версии 3.6. Если у вас установлена эта программа, значит утилита эта у вас есть и находится она по пути установки программы, т. е. C:\Program Files (x86)\Crypto Pro\CSP (у меня 64-разрядная ОС, если у вас 32 разрядная, то (х86) в пути будет отсутствовать). Её нам необходимо запустить из командной строки.

Чтобы открыть командную строку в Windows 7, надо через проводник добраться до нужной папки, нажать клавишу "Shift" на клавиатуре, и удерживая её кликнуть правой кнопкой мышки по нужной папке. Всё проиллюстрировано на картинке ниже (рис. 9):

В появившемся контекстном меню, надо выбрать "Открыть око команд" уже левой кнопкой мышки. В окне команд надо сначала ввести следующую команду: без квадратных скобок, конечно же. Эта команда покажет нам все доступные контейнеры закрытых ключей в виде: [\\.\имя носителя\имя контейнера] . Когда мы узнаем как называется наш контейнер закрытых ключей, необходимо ввести еще одну команду: . Опять без квадратных скобок. В кавычках надо ввести имя вашего контейнера закрытых ключей, которое вы узнали на предыдущем шаге. Кавычки вводить ОБЯЗАТЕЛЬНО . Эта команда покажет нам сохраненный пароль, узнав его, мы сможем воспользоваться первым методом для удаления или изменения пароля.

Все вышеуказанные действия мною были проделны, о чем свидетельствует рисунок 10:

Сразу хочу отметить, что у меня не получилось "узнать" пароль используя этот метод (красная строчка на рис. 10). Но я думаю, что это связано с тем, что контейнер, который я указывал во второй команде, был получен путем копирования с носителя на носитель с помощью пункта меню программы Крипто Про "Скопировать" (рис. 3). Генерация закрытых ключей проводилась на другой носитель, не доступный мне более. Но метод рабочий.

Если у вас тоже не получится удалить пароль таким образом, то остается единственный путь - отзывать текущий сертификат и генерировать новые ключи и новый запрос на сертификат. А если вы будете серьезнее относиться к парольной защите, то "забываться" пароли не будут. На этом все. Удачи!

И напоследок... Если вам понравилась эта статья и вы почерпнули из нее что-то новое для себя, то вы всегда можете выразить свою благодарность в денежном выражении. Сумма может быть любой. Это вас ни к чему не обязывает, все добровольно. Если вы всё же решили поддержать мой сайт, то нажмите на кнопку "Поблагодарить", которую вы можете видеть ниже. Вы будете перенаправлены на страницу моего сайта, где можно будет перечислить любую денежную сумму мне на кошелек. В этом случае вас ждет подарок. После успешного перевода денег, вы сможете его скачать.

Вариант 1:

Используются настройки по умолчанию, ПИН-код токена запомнен системой. Наименее безопасный вариант. Для этого при первом запросе ПИН-кода необходимо установить галку «Запомнить pin-код»:

В этом случае, на данном компьютере ПИН-код больше не будет запрашиваться, для подписания необходимо будет просто один раз выбрать сертификат которым подписываем. ПИН-код будет запомненным для всех действий с ЭП, пока в настройках Крипто Про-Сервис- Пароли закрытых ключей- Удалить запомненные пароли… они не будут удалены.

Вариант 2:

Использование режима кэширования контейнеров закрытых ключей.

В настройках Крипто Про необходимо включить использование службы хранения ключей и кэширование. Изменение параметров Крипто Про производятся пользователем с правами Администратора.

При её включении ПИН-код необходимо ввести при входе на площадку, далее ПИН-код не будет запрашиваться до тех пор, пока не будет перезапущен браузер. Если нажать кнопку «Выход» на площадке, и потом опять зайти на неё под тем же пользователем не закрывая браузер, то ПИН-код не будет запрошен. Если закрыть браузер и открыть его заново, или заходить на площадку в другом браузере, то ПИН-код запрашивается (проверено в Google Chrome, Internet Explorer).
Согласно "ЖТЯИ.00087-01 92 01. Инструкция по использованию. Windows.pdf"- Установка параметров безопасности- стр.43: "При хранении ключей в службе хранения ключей возможно применение кэширования контейнеров закрытых ключей. Кэширование заключается в том, что считанные с носителя ключи остаются в памяти сервиса. Ключ из кэша является доступным и после извлечения ключевого носителя из считывателя, а также после завершения работы загрузившего этот ключ приложения. Каждый ключ из кэша доступен любому приложению, которое работает под той же учётной записью, что и приложение, поместившее этот ключ в кэш. Все ключи из кэша доступны до завершения работы службы хранения ключей. При переполнении кэша очередной ключ записывается на место самого раннего ключа, помещённого в кэш.
Кэширование контейнеров позволяет увеличить производительность приложений за счет более быстрого доступа к закрытому ключу, т.к. считывание ключа осуществляется только один раз.
Размер кэша задает количество ключей, которые одновременно могут храниться в памяти.
Для того чтобы включить кэширование, необходимо установить флаг в поле Включить кэширование. Необходимо также задать размер кэша в соответствующем поле ввода.".

Для того чтобы данные режимы можно было включить, необходимо при установке Крипто Про на компьютер, устанавливать компонент «Служба хранения ключей», по умолчанию данная служба не устанавливается.

Вариант 3: (Использование данного варианта не рекомендуется при работе на ЭТП, так как при подписании электронного договора возможно подписание более 100 файлов)

Используются настройки по умолчанию, наивысшая степень безопасности. В этом случае при подписании договорных документов будет вызываться окно для ввода ПИН кода для подписания каждого документа (договор, приложения, спецификации и т.д.).

Вариант 1:

Вариант 2:

Использование режима кэширования контейнеров закрытых ключей.