Завантажувальний диск

Повністю очистити і відформатувати токен. Апаратна автентифікація на базі USB-ключів у ОС Windows XP - Покроковий посібник. Захист сеансу користувача

"До 2008 року кількість використовуваних USB-ключів наблизиться до кількості інших засобів аутентифікації"
IDC 2004 рік

Вступ

В даний час у зв'язку з широким поширенням комп'ютерів все частіше доводиться замислюватися про безпеку інформації, що обробляється. Першим кроком у забезпеченні безпеки є аутентифікація законного користувача.
Найчастіше як засоби аутентифікації використовується пароль. До того ж більше 60% користувачів, як показує практика, найчастіше використовує одні й самі паролі до різних систем. Не варто й казати, що це значно знижує рівень безпеки. Що робити?
На мій погляд, одним із варіантів вирішення проблеми буде використання апаратних ключів автентифікації. Розглянемо їх застосування докладніше з прикладу USB-ключів від фірми Aladdin.

Що таке eToken?

eToken (рис. 1) – персональний пристрій для аутентифікації та зберігання даних, що апаратно підтримує роботу з цифровими сертифікатами та електронно-цифровим підписом (ЕЦП). eToken випускається у вигляді:

  • eToken PRO – USB-ключ, що дозволяє проводити двофакторну автентифікацію. Доступний у версіях 32К та 64К.
  • eToken NG-OTP – гібрид USB-ключа та пристрою, що генерує одноразові паролі (One Time Password, OTP). Доступний у версіях 32К та 64К.
  • Смарт-карта eToken PRO - пристрій, що виконує ті ж функції, що і USB-ключ, але має форму звичайної кредитної картки. Доступна у версіях 32К та 64К.

Надалі ми говоритимемо саме про USB-ключи, які підключаються безпосередньо до USB порту комп'ютера і, на відміну від смарт-карти, не потребують спеціального зчитувача.
eToken має захищену енергонезалежну пам'ять і використовується для зберігання паролів, сертифікатів та інших секретних даних.

Малюнок 1 eToken Pro 64k

Пристрій eToken

Компоненти технології eToken PRO:

  • Чіп смарт-карти Infineon SLE66CX322P або SLE66CX642P (EEPROM ємністю 32 або 64 КБ відповідно);
  • ОС смарт-картки Siemens CardOS V4.2;
  • Апаратно реалізовані алгоритми: RSA 1024bit, DES, Triple-DES 168bit, SHA-1, MAC, Retail-MAC, HMAC-SHA1;
  • Апаратний датчик випадкових чисел;
  • Контролер USB інтерфейсу;
  • Джерело живлення;
  • Корпус з твердого пластику, що не піддається розкриттю.

У пристрій eToken NG-OTP додатково включені такі компоненти:

  • Генератор одноразових паролів;
  • Кнопка для їхньої генерації;
  • РК-дисплей;

Підтримка інтерфейсів:

  • Microsoft CryptoAPI;
  • PKCS#11.

PIN-код

Щоб отримати доступ до даних, що зберігаються в пам'яті eToken, необхідно ввести PIN-код (Personal Identification Number). У PIN-коді не рекомендується використовувати пробіли та російські літери. При цьому PIN-код повинен відповідати критеріям якості, заданим у файлі %systemroot%\system32\etcpass.ini.
Редагування цього файлу, що містить критерії якості PIN-коду, здійснюється за допомогою утиліти eToken Properties.

Права доступу до eToken

Залежно від моделі eToken та параметрів, вибраних під час форматування, можна виділити чотири типи прав доступу до eToken:

  • гостьовий- Можливість переглядати об'єкти у відкритій області пам'яті; можливість отримання із системної області пам'яті загальної інформації щодо eToken, що включає ім'я eToken, ідентифікатори та деякі інші параметри. При гостьовому доступі знання PIN-коду не є обов'язковим;
  • користувальницький– право переглядати, змінювати та видаляти об'єкти в закритій, відкритій та вільній областях пам'яті; можливість отримання загальної інформації щодо eToken; право змінювати PIN-код та перейменовувати eToken; право налаштовувати параметри кешування вмісту закритої області пам'яті та додаткового захисту закритих ключів паролем (за відсутності пароля адміністратора або з дозволу адміністратора), право перегляду та видалення сертифікатів у сховищі eToken та ключових контейнерів RSA;
  • адміністраторський- право змінювати PIN-код користувача, не знаючи його; право зміни пароля адміністратора; право налаштовувати параметри кешування вмісту закритої області пам'яті та додаткового захисту закритих ключів паролем, а також можливість робити ці налаштування доступними в режимі користувача;
  • ініціалізаційний– право форматувати eToken PRO.

До eToken R2 відносяться лише перші два типи прав, до eToken PRO та eToken NG-OTP – усі чотири.
Адміністраторський доступ до eToken PRO може бути здійснений лише після правильного введення пароля адміністратора. Якщо в процесі форматування пароль адміністратора не заданий, звернутися з правами адміністратора не можна.

Програмне забезпечення для eToken

Загальні відомості

eToken Run Time Environment 3.65
eToken Run Time Environment (eToken RTE) – набір драйверів eToken. До складу пакету програмного забезпечення входить утиліта "Властивості eToken" (eToken Properties).
За допомогою даної утиліти можна:

  • налаштовувати параметри eToken та його драйверів;
  • переглядати загальну інформацію щодо eToken;
  • імпортувати, переглядати та видаляти сертифікати (за винятком сертифікатів із сховища eTokenEx) та ключові контейнери RSA;
  • форматувати eToken PRO та eToken NG-OTP;
  • налаштувати критерії якості PIN-кодів.

Для встановлення програмного забезпечення необхідні права локального адміністратора. Пам'ятайте, що до встановлення eToken RTE не можна підключати ключ eToken.
Встановлення програмного забезпечення необхідно проводити в наступному порядку:

  • eToken RTE 3.65;
  • eToken RTE 3.65 RUI (русифікація інтерфейсу);
  • eToken RTX.

Встановлення та видалення на локальному комп'ютері eToken RTE 3.65

Встановлення


Малюнок 2 eToken Run Time Environment 3.65 Setup

У вікні (рис. 3) необхідно прочитати ліцензійну угоду та погодитись з нею.


Рисунок 3 End-User License Agreement

Якщо ви не погоджуєтесь з умовами ліцензійної угоди, то натисніть кнопку "Cancel" і тим самим перервіть процес встановлення.
Якщо ви згодні з ліцензійною угодою, виберіть "I accept the license agreement" і натисніть кнопку "Next". На екрані ви побачите наступне вікно (рис. 4):


Малюнок 4 Ready to Install the Application

Установка триватиме деякий час.
Після закінчення процесу інсталяції (рис. 5) натисніть кнопку Finish.


Рисунок 5 eToken Run Time Environment 3.65 has been successfully installed
Наприкінці установки може знадобитися перезавантаження комп'ютера.

eToken RTE 3.65 RUI

Встановлення
Для встановлення eToken RTE 3.65 RUI необхідно запустити програму встановлення.


Малюнок 6 Установка eToken 3.65 RUI
У вікні (мал. 6) натисніть кнопку "Далі".


Рисунок 7 Закінчення установки Russian User Interface

Використання командного рядка

Для встановлення та видалення eToken RTE 3.65, eToken RTE 3.65 RUI та eToken RTX можна використовувати командний рядок.
Приклади команд:

  • msiexec /qn /i
  • msiexec /qb /i
  • /q– установка eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматичному режимі без діалогових вікон із параметрами за замовчуванням;
  • /qb– встановлення eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматичному режимі з параметрами за промовчанням та відображенням процесу встановлення на екрані;
  • msiexec /qn /x- Видалення eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматичному режимі без діалогових вікон;
  • msiexec /qb /x– видалення eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматичному режимі з відображенням процесу видалення на екрані.

Перше підключення USB-ключа eToken до комп'ютера

Якщо на комп'ютері встановлено eToken RTE 3.65, підключіть eToken до USB-порту або до подовжувального кабелю. Після цього розпочнеться процес обробки нового обладнання, який може тривати деякий час. Після завершення процесу обробки нового обладнання на eToken засвітиться світловий індикатор.

Утиліта "Властивості eToken"


Малюнок 8 Вікно програми "Властивості eToken"

Утиліта "Властивості eToken" дозволяє виконувати основні операції з керування токенами, такі як зміна паролів, перегляд інформації та сертифікатів, розміщених у пам'яті eToken. Крім того, за допомогою утиліти "Властивості eToken" можна швидко та легко переносити сертифікати між комп'ютером та eToken, а також імпортувати ключі в пам'ять eToken.
Кнопка "Розблокувати" потрібна, якщо користувач забув свій PIN-код, і не може прийти до адміністратора eToken (наприклад, користувач знаходиться у відрядженні). Звернувшись до адміністратора по e-mail, користувач зможе отримати для цього eToken від адміністратора шістнадцятковий запит, сформований на підставі даних, що зберігаються в базі TMS, внісши який у поле "відповідь" користувач отримає доступ на зміну PIN-коду.


Малюнок 9 Вкладка комп'ютера

Зміна PIN-коду здійснюється згідно з рис. 10:


Рисунок 10 Зміна PIN-коду
При зміні PIN-коду необхідно, щоб новий PIN-код відповідав вимогам якості введеного пароля. Якість пароля перевіряється відповідно до введених критеріїв.
Щоб перевірити відповідність пароля вибраним критеріям, введіть пароль у рядок. Під цим рядком виводиться інформація про причини невідповідності введеного пароля вибраним критеріям у відсотках, а також графічно та у відсотках умовно відображається якість введеного пароля згідно з вибраними критеріями.

Перелік критеріїв

У таблиці наведено критерії якості PIN-коду та вказані їх значення, що настроюються. Як значення критерію може бути використана негативна величина, виражена у відсотках. Таке значення називається штрафом.

Критерій

Опис

Можливі значення

Значення за замовчуванням

PIN-код містить послідовність символів в алфавітному порядку

довжина послідовності символів для критерію ABCOrder

новий пароль дорівнює поточному

пароль зі словника

новий пароль дорівнює одному з попередніх

DefaultPassChange

зміна пароля, прийнятого за умовчанням

None (зміна пароля не потрібна);
Warning (виводиться повідомлення із попередженням);
Enforce (використання пароля за промовчанням неможливе)

файл словника

абсолютний шлях до файлу словника

не задано

пароль лише з цифр

наявність двох однакових символів

термін дії до появи попередження про необхідність зміни (щодня)

максимальний термін дії в днях

0
(не встановлений)

KeyboardProximity

наявність кількох символів у тому порядку, як у клавіатурі

KeyboardProximityBase

довжина послідовності символів для критерію KeyboardProximity

пароль схожий на пароль зі словника

мінімальний термін дії в днях

0
(не встановлений)

мінімальна довжина у символах

мінімальна стійкість у відсотках

відсутність цифр

відсутність малих літер

використання букв російського алфавіту, недрукованих та деяких службових символів

відсутність розділових знаків і службових символів

відсутність великих літер

PhonesandSerialNumbers

використання в паролі номерів телефонів, серійних номерів тощо.

наявність символів, що повторюються

кількість раніше використаних паролів, що зберігаються в пам'яті eToken для перевірки за критерієм CheckOld-Passes

довжина пароля менше WarningLength

якщо довжина пароля менша за WarningLength, при перевірці якості пароля з'являється попередження

пароль містить символи пропуску

Словник

Щоб встановити список неприпустимих або небажаних паролів, створіть текстовий файл. Або ви можете скористатися так званими частотними словниками, які використовуються для підбору паролів. Файли таких словників можна взяти на сайті www.passwords.ru.
Приклад такого словника:
anna
annette
bill
password
william
Призначте критерію "Dictionary" шлях до створеного файлу. При цьому шлях до файлу словника на кожному комп'ютері має співпадати зі значенням критерію Dictionary.

Вхід у Windows за допомогою eToken

Загальні відомості

eToken SecurLogon поєднує ефективний захист мережі із зручністю та мобільністю. Під час аутентифікації у Windows використовуються ім'я користувача та пароль, що зберігаються у пам'яті eToken. Це дає можливість застосовувати строгу аутентифікацію на основі токенів.
Разом з тим хотілося б додати, що у великих компаніях, які використовують доменну структуру, необхідно подумати про впровадження PKI та централізоване застосування SmartCardLogon.
При використанні eToken SecurLogon можуть застосовуватись нікому не відомі випадкові складні паролі. Крім того, передбачена можливість використання сертифікатів, що зберігаються в пам'яті eToken, для реєстрації на основі смарт-карток, що підвищує безпеку входу до Windows.
Це стало можливим завдяки тому, що Windows 2000/XP дозволяє використовувати різні механізми доступу, які замінюють метод автентифікації за умовчанням. Механізми ідентифікації та аутентифікації служби входу в Windows (winlogon), що забезпечує інтерактивну реєстрацію в системі, вбудовані в бібліотеку (DLL), що замінюється динамічно приєднується, іменована GINA (Graphical Identification and Authentication, робочий стіл аутентифікації). Коли система потребує іншого методу аутентифікації, який замінив би механізм "ім'я користувача/пароль" (використовується за замовчуванням) стандартну msgina.dll замінюють новою бібліотекою.
Під час встановлення eToken SecurLogon замінюється бібліотека робочого стола аутентифікації та створюються нові параметри реєстру. GINA відповідає за політику інтерактивного підключення та здійснює ідентифікацію та діалог з користувачем. Заміна бібліотеки робочого столу аутентифікації робить eToken основним механізмом автентифікації, що розширює можливості стандартної автентифікації Windows 2000/XP, заснованої на застосуванні імені користувача та пароля.
Користувачі можуть самостійно записувати в пам'ять eToken інформацію, необхідну для входу Windows (профілі), якщо це дозволено політикою безпеки підприємства.
Профілі можна створювати за допомогою майстра створення профілів eToken Windows Logon.

Приступаючи до роботи

eToken SecurLogon аутентифікує користувача Windows 2000/XP/2003 за допомогою eToken, використовуючи або сертифікат користувача зі смарт-карткою, або ім'я користувача та пароль, які зберігаються в пам'яті eToken. eToken RTE включає всі необхідні файли та драйвери, що забезпечують підтримку eToken в eToken Windows Logon.

Мінімальні вимоги

Умови встановлення eToken Windows Logon:

  • на всіх робочих станціях має бути встановлений eToken Runtime Environment (версії 3.65 або 3.65);
  • eToken SecurLogon встановлюється на комп'ютер із Windows 2000 (SP4), Windows XP (SP2) або Windows 2003 (SP1). eToken SecurLogon підтримує класичний діалог вітання Windows (але не новий екран вітання Windows XP) та не підтримує режим швидкої зміни користувачау Windows XP.

Підтримувані токени

eToken SecurLogon підтримує такі пристрої eToken:

  • eToken PRO – USB-ключ, що дозволяє проводити двофакторну автентифікацію. Доступний у версіях 32К та 64К;
  • eToken NG-OTP – гібрид USB-ключа та пристрою, що генерує одноразові паролі. Доступний у версіях 32К та 64К;
  • смарт-карта eToken PRO – пристрій, що виконує ті ж функції, що і USB-ключ, але має форму звичайної кредитної картки. Доступна у версіях 32К та 64К.

eToken Runtime Environment (RTE)

eToken Runtime Environment (RTE) містить усі файли та драйвери, що забезпечують підтримку eToken у eToken Windows Logon. У цей набір також входить утиліта "Властивості eToken" (eToken Properties), що дозволяє користувачеві легко керувати PIN-кодом та ім'ям eToken.
Всі нові eToken мають той самий PIN-код, встановлений за умовчанням під час виробництва. Цей PIN-код 1234567890. Для забезпечення суворої, двофакторної аутентифікації та повної функціональності користувач обов'язково повинен замінити PIN-код за замовчуванням власним PIN-кодом відразу після отримання нового eToken.
Важливо:PIN-код не слід плутати з паролем користувача Windows .

Встановлення

Для того щоб встановитиeTokenWindowsLogon:

  • увійдіть у систему як користувач із правами адміністратора;
  • двічі клацніть SecurLogon - 2.0.0.55.msi;
  • з'явиться вікно майстра установки eToken SecurLogon (рис. 11);
  • натисніть кнопку " Next",з'явиться ліцензійна угода eToken Enterprise;
  • прочитайте угоду, натисніть " Iaccept"(Приймаю), а потім кнопку " Next";
  • наприкінці установки проводиться перезавантаження.


Малюнок 11 Установка SecurLogon


Встановлення за допомогою командного рядка:
eToken SecurLogon можна встановлювати за допомогою командного рядка:
msiexec /Option [необов'язковий параметр]
Параметри встановлення:

  • - Встановлення або налаштування продукту;
  • /a - адміністративна установка - установка продукту в мережу;
  • /j

Оголошення про продукт:

      • "m" – всім користувачам;
      • "u" – поточному користувачеві;
  • - Скасування установки продукту.

Параметри відображення:

  • /quiet - тихий режим, без взаємодії з користувачем;
  • /passive – автоматичний режим – лише індикатор виконання;
  • /q - Вибір рівня інтерфейсу користувача;
      • n – без інтерфейсу;
      • b – основний інтерфейс;
      • r – скорочений інтерфейс;
      • f – повний інтерфейс (за умовчанням);
  • /help – виведення довідки щодо використання.

Параметри перезапуску

  • /norestart – не перезапускати після завершення встановлення;
  • /promptrestart – запитувати переустановку за необхідності;
  • /forcerestart – завжди запускати комп'ютер після завершення інсталяції.

Параметри ведення журналу
/l;

  • i – повідомлення про стан;
  • w – повідомлення про усунення помилок;
  • e – усі повідомлення про помилки;
  • a – запуски дій;
  • r - записи, специфічні для дії;
  • u – запити користувача;
  • c – початкові параметри користувача;
  • m – відомості про вихід через брак пам'яті або непереборну помилку;
  • o – повідомлення про нестачу місця на диску;
  • p – властивості терміналу;
  • v – докладний висновок;
  • x – додаткова налагоджувальна інформація;
  • + – додавання до існуючого файлу журналу;
  • ! – скидання кожного рядка до журналу;
  • * – заносити до журналу всю інформацію, крім параметрів "v" і "x" /log рівнозначний /l* .

Параметри оновлення:

  • /update [;Update2.msp] - застосування оновлень;
  • /uninstall [;Update2.msp] /package – видалення оновлень продукту.

Параметри відновлення:
/f
Відновлення продукту:

    • p – лише за відсутності файла;
    • o – якщо файл відсутній або встановлена ​​стара версія (за замовчуванням);
    • e – якщо файл відсутній або встановлена ​​така сама або стара версія;
    • d – якщо файл відсутній або встановлено іншу версію;;
    • c – якщо файл відсутній або контрольна сума не збігається із підрахованим значенням;
    • a – викликає перевстановлення всіх файлів;
    • u – всі необхідні елементи реєстру, специфічні для користувача (за умовчанням);
    • m – всі необхідні елементи реєстру, специфічні для комп'ютера (за замовчуванням);
    • s – усі існуючі ярлики (за замовчуванням);
    • v – запуск із джерела з повторним кешуванням локальних пакетів;

Налаштування загальних властивостей:
Щоб отримати додаткові відомості про командний рядок, зверніться до посібника розробників Windows (R) Installer.

Автоматична генерація пароля.

При записі профілю користувача в пам'ять eToken пароль може генеруватися автоматично або вводитись вручну. При автоматичній генерації формується довільний, довжиною до 128 символів, пароль. При цьому користувач не знатиме свій пароль і не зможе увійти в мережу без ключа eToken. Вимога використання лише автоматично згенерованих паролів може бути налаштована як обов'язкова.

Використання eToken SecurLogon

eToken SecurLogon дозволяє користувачам реєструватися у Windows 2000/XP/2003 за допомогою eToken із записаним у пам'яті паролем.

Реєстрація у Windows

Ви можете реєструватися в системі Windows за допомогою eToken, або вводячи ім'я користувача та пароль Windows.

Щоб зареєструватися у Windows за допомогою eToken:

  1. Перезавантажте комп'ютер;
  2. З'явиться вітальне повідомлення для Windows;
  3. Якщо eToken вже підключено, клацніть на посилання Logon Using eToken (реєстрація за допомогою eToken). Якщо eToken не було підключено, підключіть його до USB-порту або кабелю. За будь-якого методу реєстрації буде відображено вікно "Вхід у Windows / Log On to Windows";
  4. Виберіть користувача та введіть PIN-код eToken;
  5. Натисніть "OK". Ви відкрили сеанс користувача за допомогою реквізитів, встановлених у пам'яті eToken.
  6. Якщо ви використовуєте eToken із сертифікатом користувача зі смарт-карткою, ви повинні ввести лише PIN-код eToken, щоб підключитися до комп'ютера.

Реєстрація вWindows безeToken:

  1. перезавантажте ваш комп'ютер, натисніть клавіші CTRL+ALT+DEL, з'явиться вікно "Вхід у Windows / Log On to Windows";
  2. натисніть кнопку "OK" – ви увійшли до системи за допомогою імені користувача та пароля.

Зміна пароля

Ви можете змінити пароль Windows після входу до системи за допомогою eToken.
Для того, щоб змінити пароль після входу в систему за допомогою eToken:

  1. увійдіть у систему, використовуючи eToken;
  2. натисніть " CTRL+ALT+DEL", з'явиться вікно" БезпекаWindows/ WindowsSecurity";
  3. Натисніть кнопку " Зміна пароля/ ChangePassword", якщо поточний пароль було створено вручну, з'явиться вікно " Зміна пароля/ ChangePassword", але якщо поточний пароль був створений випадковим чином, переходимо до пункту 5;
  4. Введіть новий пароль у полях " Новий пароль/ NewPassword"і" Підтвердження/ ConfirmNewPassword"і натисніть кнопку " OK";
  5. Якщо поточний пароль був створений випадковим чином, новий пароль буде створено автоматично;
  6. у діалоговому вікні введіть PIN-код eToken і натисніть кнопку " OK"
  7. з'явиться вікно з підтвердженням повідомлення.

Захист сеансу користувача

Ви можете використовувати eToken для безпеки вашого робочого сеансу.

Блокування вашої робочої станції

Ви можете забезпечувати безпеку вашого комп'ютера, не виходячи із системи, шляхом блокування комп'ютера. При від'єднанні eToken від порту USB або кабелю (після успішної реєстрації) операційна система автоматично заблокує ваш комп'ютер.

Для того, щоб розблокувати ваш комп'ютер:

Коли комп'ютер заблоковано, з'являється вікно " Блокування комп'ютера Комп'ютерLocked". Підключіть eToken до порту USB або кабелю. У вікні, введіть PIN-код у поле " eTokenPassword"і натисніть кнопку " OK- комп'ютер розблоковано.
Примітка:у разі натискання CTRL+ALT+DEL"і введення пароля комп'ютер буде розблоковано без використання eToken.

Видалення вручну

У тому рідкісному випадку, коли вам потрібно видалити eToken SecurLogon вручну, зробіть наступні дії:

  • перезавантажте комп'ютер та завантажте його у безпечному режимі;
  • зареєструйтесь як користувач із правами адміністратора;
  • за допомогою редактора реєстру відкрийте розділ HKEY_LOCAL_MAЗHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogonта видаліть параметр " GinaDLL";
  • gерезавантажте ваш комп'ютер, при наступній реєстрації у Windows з'явиться вікно Microsoft Windows Logon.

Усунення загальних неполадок

Для усунення загальних неполадок може знадобитися наступне:

Проблема

Рішення

Ви підключили eToken під час процесу реєстрації (коли з'явилося вікно " Операційна системаWindows/ WelcometoWindows") або коли комп'ютер заблоковано (відображено вікно " Блокування комп'ютера/ Комп'ютерLocked"). Вікно eToken SecurLogon не з'являється.

1. Від'єднайте всі підключені смарт-картки (не лише eToken) до комп'ютера та знову підключіть eToken.
2. Можливо, eToken не розпізнається системою після встановлення eToken RTE. У цьому випадку спробуйте зареєструватися вручну, натиснувши " CTRL+ALT+DEL". Приєднайте ваш eToken і дочекайтеся, коли світиться індикатор.

Ви підключили eToken відразу після виведення комп'ютера зі сплячого або режиму очікування. Вікно eToken SecurLogon не з'являється .

1. Зачекайте, коли світиться індикатор. З'явиться вікно Зняття блокування комп'ютера/ UnlockКомп'ютер".
2. Здійсніть дії, описані вище.

Ви від'єднали eToken після виведення комп'ютера зі сплячого або режиму очікування, і комп'ютер не блокується відразу.

Зачекайте не більше 30 секунд, поки комп'ютер не заблоковано.

У Windows 2000 вихід із системи або вимкнення комп'ютера займає багато часу.

Встановіть останній пакет оновлень.

Ви підключили пристрій читання смарт-картки або eToken після увімкнення комп'ютера, і пристрій не розпізнається.

Перезавантажте комп'ютер після з'єднання зчитувача.

Зберігання ключів на апаратних ключах (Kaztoken, eToken) збільшує безпеку зберігання та використання ЕЦП організації:

  • Збережені ЕЦП з цих пристроїв потай скопіювати складніше, ніж з ПК
  • При втраті токена використання ЕЦП захищене паролем

Для використання пристроїв еТокен організація повинна мати діючі ключі ЕЦП.

У статті:

Встановлення ключів ЕЦП на пристрій eToken (відео урок)

Установка ЕЦП на носії еТокен має нюанси (перевірено на вересень 2015 року).

Пристрій еТокен при першому використанні перед записом на нього ключів вимагає обов'язкової зміни пароля по помлочення (1234567890) на більш складний, тільки після чого можливий запис ключів ЕЦП на пристрій. Тому, якщо просто вставити новий пристрій еТокен в ПК і спробувати через сайт НУЦ встановити сертифікати, після закінчення установки буде видаватися повідомлення про помилку встановлення сертифікатів.

Тому доведеться завантажити програму, що управляє, на пристрій eToken, переініціалізувати пристрій, прибравши галочку вимагати зміну пароля перед використанням.

А оскільки сайт НУЦ може записати ключі на токен, тільки якщо пароль на еТокен 1234567890 (при інших паролях, знову ж таки після встановлення отримуємо помилку запису ключів), в програмі, що управляє, примусово встановлюємо пароль 1234567890, попередньо знявши галочку про вимогу складно.

Після виконаних операцій можна успішно записати ключі ЕЦП на носій eToken.

Очищення носія eToken (відео урок)

Виправляємо помилку Виявлено більше одного ключа RSA ключа

Якщо перед встановленням нових ключів не здійснити очищення носія еТокен, установка через сайт НУЦ пройде успішно, але при спробі входу на портал ІС Казначейство Клієнт ви зіткнетеся з наступною помилкою: Виявлено більше одного RSA ключа:

Вирішенням цієї проблеми буде завантажити утиліту InfoToken() і за допомогою її відформатувати пристрій. Після чого доведеться знову записати ключі на токен.

Порада від нашого читача: Ви можете спробувати видалити зайві ключі за допомогою TumarCSP.

Від автора:

Якщо проблему вирішено, один із способів сказати «Спасибі» автору, вказано — .

Якщо ж проблему вирішити не вдалося або з'явилися додаткові питання, поставити їх можна на нашій групі.

Або ж, скористайтеся нашою послугою « » довіривши вирішення проблеми фахівцю.

Токени, електронні ключі для доступу до важливої ​​інформації, набувають все більшої популярності в Росії. Токен зараз – не тільки засіб для аутентифікації в операційній системі комп'ютера, а й зручний пристрій для зберігання та пред'явлення персональної інформації: ключів шифрування, сертифікатів, ліцензій, посвідчень. Токени надійніші за стандартну пару “логін/пароль” за рахунок механізму двофакторної ідентифікації: тобто користувач не тільки повинен мати в наявності носій інформації (безпосередньо сам токен), а й знати PIN-код.

Основних форм-факторів, в яких випускаються токени, три: USB-токен, смарт-картка та брелок. Захист за допомогою PIN-коду найчастіше зустрічається в USB-токенах, хоча останні моделі USB-токенів випускаються з можливістю встановлення RFID-мітки та рідкокристалічним дисплеєм для генерації одноразових паролів.

Зупинимося докладніше за принципами функціонування токенів з PIN-кодом. PIN-код - це спеціально заданий пароль, який розбиває процедуру аутентифікації на два етапи: приєднання токена до комп'ютера та введення PIN-коду.

Найбільш популярні моделі токенів на сучасному електронному ринку Росії - Рутокен, eToken від компанії "Аладдін", та електронний ключ від компанії "Актив". Розглянемо найчастіші питання щодо PIN-кодів для токена на прикладі токенів цих виробників.

1. Який PIN-код використовується за замовчуванням?

У таблиці нижче наведено інформацію про PIN-коди за замовчуванням для токенів Рутокен та eToken. Стандартний пароль відрізняється для різних рівнів власників.

Власник Користувач Адміністратор
Рутокен 12345678 87654321
eToken
1234567890 Стандартний пароль адміністратора не встановлюється. Може бути встановлений через панель керування тільки для моделей eToken PRO, eToken NG-FLASH, eToken NG-OTP.
JaCarta PKI 11111111 00000000
JaCarta ГОСТ Не заданий 1234567890
JaCarta PKI/ГОСТ Для PKI-функціоналу: 11111111

При використанні JaCarta PKI з опцією "Зворотна сумісність" - PIN-код - 1234567890

Для ГОСТ-функціоналу: PIN-код не встановлено

 		Для PKI-функціоналу: 00000000

При використанні JaCarta PKI з опцією "Зворотна сумісність" - PIN-код не встановлено

Для ГОСТ-функціоналу: 1234567890
JaCarta PKI/ГОСТ/SE Для PKI-функціоналу: 11111111

Для ГОСТ-функціоналу: 0987654321

 		Для PKI-функціоналу: 00000000

Для ГОСТ-функціоналу: 1234567890
JaCarta PKI/BIO 11111111 00000000
JaCarta PKI/Flash 11111111 00000000
ESMART Token 12345678 12345678
карта IDPrime 0000 48 нулів
JaCarta PRO/JaCarta LT 1234567890 1234567890

2. Чи потрібно змінювати PIN-код за замовчуванням? Якщо так, то коли роботи з токеном?

3. Що робити, якщо PIN-коди на токені невідомі, а PIN-код за замовчуванням вже скинутий?

Єдиний вихід – повністю очистити (відформатувати) токен.

4. Що робити, якщо PIN-код користувача заблоковано?

Розблокувати PIN-код користувача можна за допомогою панелі керування токена. Для цього потрібно знати PIN-код адміністратора.

5. Що робити, якщо PIN-код адміністратора заблоковано?

Розблокувати PIN-код адміністратора неможливо. Єдиний вихід – повністю очистити (відформатувати) токен.

6. Яких заходів безпеки вжито виробниками для зниження ризику підбору пароля?

Основні пункти політики безпеки для PIN-кодів USB-токенів компаній "Аладдін" та "Актив" представлені в таблиці нижче. Проаналізувавши дані таблиці можна дійти невтішного висновку, що eToken імовірно матиме більш захищений пін код. Рутокен, хоч і дозволяє задавати пароль всього з одного символу, що небезпечно, за іншими параметрами не поступається продукту компанії "Аладдін".

Параметр eToken Рутокен
Мінімальна довжина PIN-коду 4 1

Склад PIN-коду

 Літери, цифри, спеціальні символи Цифри, літери латинського алфавіту
Більше або дорівнює 7 До 16

Адміністрація безпеки PIN-коду

 Є Є
Є Є

Важливість збереження PIN-коду в секреті відома всім, хто використовує токени в особистих цілях, зберігає на ньому свій електронний підпис, довіряє електронному ключу інформацію не лише особистого характеру, а й деталі своїх бізнес-проектів. Токени компаній "Аладдін" і "Актив" мають попередньо встановлені захисні властивості і разом з певною часткою обережності, яка буде виявлена ​​користувачем, знижують ризик підбору пароля до мінімуму.

Програмні продукти Рутокен та eToken представлені у різних конфігураціях та форм-факторах. Пропонований асортимент дозволить вам вибрати саме ту модель токена, яка найбільше відповідає вашим вимогам, будь то

У випадку, якщо користувач був кілька разів введений неправильний пароль, eToken може бути заблокований.
Для розблокування eToken необхідно виконати наступні дії описані нижче, та ще й користувачеві дати посилання на книгу з тренування пам'яті, так по-дружньому.

Я забув пароль etoken, що робити

Всі ми люди, у всіх свої проблеми та турботи, часто з пам'яті вилітають речі, якими ми не часто користуємося, такою річчю може бути для користувача etoken, така червона або синя флешка. Не засмучуйтеся, все можна виправити.

Запустіть програму eToken PKI Client (за потреби встановіть програму)

Виберіть зчитувач eToken, потім натисніть "Показати детальний вигляд"

Натисніть на кнопку "Вхід з правами адміністратора"

Введіть пароль Адміністратора, а потім натисніть " ОК" . За промовчанням на eToken має бути встановлений пароль адміністратора 0987654321

Якщо пароль адміністратора введено правильно, має з'явитися повідомлення "Виконано вхід з правами Адміністратора"

Потім натисніть кнопку "Встановити пароль користувача"

Введіть новий пароль і натисніть " ОК" (настійно рекомендуємо вказувати пароль за замовчуванням 1234567890 ), щоб точно вже не забути.