КАК РАЗБЛОКИРОВАТЬ РУТОКЕН ЕСЛИ КОЛИЧЕСТВО ПОПЫТОК ИСЧЕРПАНО КАК И ЧТО ДЕЛАТЬ С РУТОРЕНОМ

Из нашей статьи вы узнаете:

Электронную подпись и сертификат ЭЦП записывают на ключевой носитель — токен. Он выглядит как флешка или смарт-карта. Одним из видов таких носителей является Рутокен. Для подписи документа токен необходимо вставить в компьютер и ввести пароль. Пользователь может забыть пин-код. Если исчерпать попытки ввода, системе придётся заблокировать Рутокен.

В статье подробно расскажем, что делать, если Рутокен заблокирован и как в этом случае сбросить пароль пользователя.

Pin-код или пароль администратора Рутокен — это специальный набор символов для ключевого носителя. Он предоставляют права на действия, которые недоступны обычному пользователю.

Рутокен или Rutoken — это торговая марка компании «Актив». Является одним из ведущих производителей аппаратной продукции для работы с электронной подписью (ЭП или ЭЦП). Выпускает, в том числе, собственную линейку ключевых носителей.

Расскажем, что такое пин-код администратора Рутокен, для чего он нужен и как с ним работать.

Одним из основных отличий USB-токена от простого флеш-накопителя является обязательность использования пин-кода для доступа к электронной подписи. Причём при нескольких неудачных попытках ввода этого пин-кода USB-токен блокируется.

Именно поэтому первое знакомство пользователя с USB-токеном нередко заканчивается блокировкой последнего. Пользователи, не знакомые с особенностями функционирования токенов, порою даже не замечают появившуюся в окне ввода пин-кода предупреждающую надпись о количестве оставшихся попыток ввода.

Программа КриптоПро CSP предоставляет три попытки ввода пин-кода за сеанс. Полное же количество попыток ввода, забитое в Рутокене по умолчанию, — 10. То есть обычно это количество исчерпывается за несколько сеансов работы.

Для подписи юридически значимых документов, электронного документооборота в России преимущественно используют электронные ключи или токены. Они значительно надежней привычной пары «login-password» за счет наличия двухфакторной аутентификации, когда кроме PIN-кода (пина) необходим накопитель информации, которое может быть одно из следующих видов:

Разновидности кодов доступа на подписи Рутокен

Для подписи документов ЭЦП надо знать два типа подобных кодов:

PIN-код «Пользователя» обязателен для перехода непосредственно к электронной цифровой подписи и объектам, расположенным на вашем компьютере (пара ключей доступа, сертификат). Он понадобится для работы с рядом программного обеспечения от сторонних разработчиков.

PIN-код «Администратор» нужен для управления паролем «Пользователя» и внесения корректировок в настройки устройства. Его используют только внутри панели управления токена.

Как сохранить и обезопасить данные

Утеря ПИНа автоматически означает компрометацию электронной цифровой подписи и повышает риск использования ЭП злоумышленниками. Выходом здесь будет генерация новой ЭЦП, а предупредит проблемы соблюдение простейших правил безопасности:

При выдаче Рутокена пароль Администратора или Пользователя могут не выдаваться. В этом случае они равны значениям по умолчанию (приведены выше).

Как изменить ПИН

Чаще всего при выдаче Рутокена на нем установлены стартовые версии паролей. Для снижения риска потери данных необходимо его перед началом использования заменить на новый. При задании обновленного пароля придерживайтесь следующих рекомендаций:

Как скорректировать ПИН Пользователя после получения ЭЦП Рутокен

Делать это необходимо сразу после получения для увеличения уровня безопасности, так как типовой пароль известен и одинаков для всех токенов. Изменить PIN-код Пользователя можно по следующему алгоритму:

Как войти в Рутокен с помощью пин-кода

После подключения токена к ноутбуку либо компьютеру выполните следующие действия:

Если ПИН был введен корректно, то появится кнопка «Выйти». В противном случае на окне появится сообщение с указанием числа попыток до блокировки. Если произошла последняя, то на экране появится соответствующее сообщение.

Как разблокировать Рутокен после неправильных вводов PIN-кода Пользователя?

Выполните действия по следующему алгоритму:

Основные нюансы работы с PIN-кодами Администратора

Этот пароль служит для административного управления токеном, его кодами. Он должен находиться в надежном недоступном для третьих лиц месте (в идеале, знать его должен только администратор). По умолчанию он представляет собой число 87654321.

Рутокен имеет счетчик неверных попыток для ввода PIN-кода «Администраторы» (если не изменены заводские настройки, то значение равно 10). Оставшееся количество этих попыток указывается на экране после неверного ввода (автоматически сбрасывается на первоначальное значение при правильном вводе). Если их не осталось, то необходимо сбросить токен до изначальных заводских настроек, что приведет к потере всех хранящихся на токене данных.

Как скорректировать ПИН Администратора

Для изменения действующих настроек придерживайтесь следующего алгоритма:

Как вернуться к заводским настройкам Рутокен

Подобное возможно только при случае, когда пользователь 10 раз неправильно ввел пароль Администратора. Об этом сообщит информационное окно, а для последующего сброса не понадобится введение паролей. Перед выполнением подобной процедуры необходимо учитывать ряд моментов:

Непосредственно возврат Рутокен к исходным настройкам идет следующим образом:

Перед началом форматирования необходимо заполнить ряд установочных основных данных Рутокена, которые будут действовать после возврата к заводским стартовым настройкам:

Изменение политики по смене пользовательского PIN-кода

Перед форматированием можно установить способы изменения пароля Пользователя. Здесь 3 варианта переключателей:

Каждый из пунктов имеет ряд специфических ограничений. Например, при установке переключателя в позицию «Пользователь» можно изменить ПИН только после ввода прежнего варианта. Одновременно есть 2 важных ограничения:

При установке галочки напротив пункта «Администатор» вы сможете изменить PIN-код Пользователя только при введении администраторского пароля. Одновременно теряется возможность изменения ПИН Администратора с использованием встроенного сервиса Microsoft Base Smart Card Crypto Provider.

Если вы установите переключатель в положение «Пользователь и Администратор», то появится возможность изменить пользовательский PIN-код при знании любого из действующих.

Способы установки PIN-кода Администратора и Пользователя

Для выполнения действия предварительно снимите флажок с позиции «Использовать PIN-код по умолчанию» (иначе для доступа достаточно будет ввести 12345678 или 87654321). Затем в соответствующих полях введите новые значения. Также обратим внимание на возможность выбора минимальной и максимальной длины паролей. Оптимальным с точки зрения безопасности и удобства при использовании вариантом будет установка на уровне в 6 и 10 символов соответственно.

Способы защиты от указания слабого PIN-кода

Все виды паролей делят на 3 группы: надежные, средние и слабые. Для предотвращения использования последних и повышения общей безопасности достаточно настроить индивидуальную политику для задания PIN-кодов, которая будет действовать при их смене. Для этого в ЭЦП Рутокен есть несколько ключей инсталляторов (отдельно они будут рассмотрены чуть ниже):

DEFPIN (параметр, установленный в рамках базовых настроек, – NO) задает политику по выводу специального сообщения при сохранении установленного ранее по умолчанию ПИН с предложением его изменить.

PINENCODING (параметр, установленный в рамках базовых настроек, — ANSI) определяет политику в использовании любых символов кодировки UTF-8. Если значение установлено на значении UTF-8, то будет разрешено устанавливать PIN-код, где есть символы в этой кодировке (это доступно исключительно для ЭЦП Рутокен). Если будет установлено значение ANSI, то использовать символы кодировки UTF-8 запрещено.

PPACCEPTBLEBEHAVIOR (параметр, установленный в рамках базовых настроек, – 0) определяет возможность применения PIN-кода со «слабой» надежностью. При установлении параметра на уровне 0 это допускается, а на уровне два подобное запрещено. При значении 1 появляется предупреждающее окно, что требует дополнительного подтверждения для использования слабого по уровню защиты пароля.

PPACCEPTABLEPINBEHAVIOR (параметр, установленный в рамках базовых настроек, – 0) определяет возможность использования пароля со «средним» уровнем безопасности. При значении 0 это допускается, а если значение 1, то будет выведено соответствующее сообщение с предупреждением.

PPONLYNUBERALS (параметр, установленный в рамках базовых настроек, – 0) определяет возможность использования в пароле только цифр. Если значение 0, то это допустимо, а если 1, то запрещено.

PPONLYLETERS (параметр, установленный в рамках базовых настроек, – 0) определяет возможность использования в новом пароле для доступа исключительно букв. Если значение 0, то это допустимо, а если 1, то запрещено.

PPONESYMBOLPIN (параметр, установленный в рамках базовых настроек, – 0) политика определяет возможность указания PIN-кода, включающего только один повторяющийся символ. При установлении параметра в значение 0 это допустимо, а если 1, то запрещено.

PPCURRENTPIN (параметр, установленный в рамках базовых настроек, – 0) политика предусматривает возможность установки PIN-кода, который полностью совпадает с прежним. При значении 0 это допустимо, а если 1, то запрещено.

PPDEFAULTPIN (параметр, установленный в рамках базовых настроек, — 0) определяет возможность использования PIN-кода по умолчанию. При значении 0 это разрешено, а если 1, то запрещено.

DEFPIN (параметр, установленный в рамках базовых настроек, – NO) определяет вывод сообщения при применении заводского пароля. Если выбрано положение YES, то после ввода будет появляться на экране каждый раз окно с предупреждением: «Вы используете PIN-код по умолчанию для этого токена. Хотите его сейчас поменять?» Если выбрано положение NO, то окно не выводится.

PPMINPINLENGTH (параметр, установленный в рамках базовых настроек, — 1) определяет минимальное значение PIN-кода в символах и может составлять от 1 до 16.

PPBADPINBORDER (параметр, установленный в рамках базовых настроек, – 0) определяет границу, которая отделят «средние» пароли от «слабых». Может составлять от 0 до 100.

(параметр, установленный в рамках базовых настроек, – 100) политика определяет границу, которая отделяет «надежные» PIN-коды от «средних». Значение это обязательно должно оставаться выше PPBADPINBORDER.

PPPINLENGHTWEIGHT (параметр, установленный в рамках базовых настроек, – 73) значение определяет суммарное значение длины пароля в общей оценки его сложности. Может составлять от 0 до 100.

Как изменить политики

Вторым вариантом изменения конкретных политик будет использование Панели управления Рутокен. Здесь необходим пароль Администратора и понимание, что изменения касаются только конкретного компьютера. Для учета конкретных, которые понадобятся для оценки актуальной степени безопасности установленного, выполните следующие действия:

Как разблокировать PIN-код?

Для предотвращения возможности подбора в Рутоке предусмотрено ограничение на количество попыток неверного ввода пользовательского или администраторского пароля (по умолчанию показатель установлен на уровне в 10 и может быть изменен во время форматирования). По умолчанию действуют следующие правила:

Работа с PIN-кодами через утилиту rtAdmin

В последнее время все более популярными стали смарт-карты Рутокен, которые по техническим возможностям схожи с традиционными USB-накопителями. Они имеют одинаковые функции, но для работы непосредственно с PIN-кодами есть несколько моментов. Речь в необходимости иметь при работе с компьютером считыватель для смарт-карт. Если же в планах использование мобильного устройства, то на последнем должен быть активирован NFC-модуль (последний по умолчанию есть во всех смартфонах за исключением моделей бюджетной категории).

По умолчанию подобные смарт-карты имеют стандартные PIN-коды для работы в режиме Пользователя и Администратора (12345678 и 87654321).

Как изменить пароль смарт-карты Рутокен с помощью компьютера

При использовании ноутбука или ПК под управлением Windows сначала понадобится загрузка и установка полного комплекта драйверов Рутокен, что можно сделать с помощью официального сайта разработчика либо УЦ, где вы оформили ЭЦП. Теперь подключите смарт-карту следующим образом:

Если действия выполнены корректно, то загорится индикатор, а при последних он будет либо неактивен, либо начнет мигать (конкретное зависит от модели считывателя).

Для изменения пароля выполните следующие действия:

Дополнительно через Панель управления вашего ЭЦП Рутокен можно узнать всю ключевую информацию о смарт-карте. Речь про идентификатор, прошивку, флаг состояния, суммарный объем доступной и свободной памяти, возможность работы по каналу ФКН и так далее.

Что делать, если PIN-код администратора заблокирован

После блокировки устройства, необходимо осуществить сброс настроек до заводских. При этом хранящиеся данные будут удалены из памяти ключевого носителя безвозвратно.

Для возврата к заводским настройкам необходимо:

После данных действий Рутокен вернётся к заводским настройкам.

Что делать, если Рутокен заблокирован

Лучше не пытаться вводить пароль наугад. Пользователь может исчерпать все попытки, носитель заблокируется, и разблокировка займёт больше времени. Рассмотрим несколько вариантов, которые могут помочь разблокировать Рутокен.

Как ввести PIN-код администратора в «Панели управления Рутокен»

Ключевой носитель ЭЦП Рутокен имеет встроенный счётчик. Он считает количество неправильно введённых попыток ввода пин-кода администратора. Их десять. При каждой неудачной попытке счётчик уменьшает значение на одну единицу. После того, как администратор укажет верный пин-код, счётчик обнуляется, и и у пользователя снова становится десять попыток.

Количество оставшихся попыток можно посмотреть в «Панели управления Рутокен» в разделе «Неудачная аутентификация». Если у администратора осталась одна попытка, и он введёт неправильный пароль, то доступ к устройству заблокируется. В таком случае нужно сбросить настройки ключевого носителя до стандартных.

Как в «Панели управления Рутокен» изменить PIN-код администратора

После данных действий PIN-код Администратора изменится.

Какой PIN-код администратора установлен по умолчанию

Производители ключевых носителей устанавливают на токены стандартные пароли. Компания «Актив» не исключение. Паролем администратора на Rutoken по умолчанию является последовательность цифр — 87654321.

Что нужно знать о пин-кодах Рутокена

Предприятием-изготовителем в Рутокены вшиваются стандартные (заводские) пин-коды:

При создании цифровой подписи удостоверяющие центры пин-код пользователя, как правило, не меняют. Он может быть изменён потом пользователем или администратором (это зависит от настроек конкретного Рутокена).

Пин-код администратора некоторые удостоверяющие центры изменяют, причём выясняется это нередко, только после обращения пользователя в техподдержку удостоверяющего центра.

В появившемся при этом диалоговом окне (см. рис. ниже) можно увидеть, кто имеет право изменить пин-код пользователя, а также оставшееся и допустимое количество попыток неудачного ввода пин-кода. На заблокированном Рутокене количество оставшихся попыток будет равно нулю.

Рутокен Web «Нет доступа к карте. Число попыток ввести правильный PIN-код исчерпано»

При попытке ввести PIN-код для Рутокен Web со скретч-карты возникают ошибки: «Нет доступа к карте. Число попыток ввести правильный PIN-код исчерпано» / «Введенный PIN-код заблокирован»

Исчерпано количество попыток ввода PIN-кода (по умолчанию имеется 10 попыток), после чего, идентификатор Рутокен Web блокируется. Работа с ключевым идентификатором Рутокен невозможна до разблокировки PIN-кода.

Для разблокировки PIN-кода потребуется PUK-код со скретч-карты, поставляющейся в комплекте с Рутокен Web.

После выполненных действий может возникнуть одно из следующих сообщений:

PIN-код пользователя успешно разблокирован

Если при выполнении указанных действий, вы видите сообщение «PIN-код пользователя успешно разблокирован», можно проверить правильность ввода PIN-кода, воспользовавшись кнопкой «Изменить PIN-код».

При вводе правильного PIN-кода станет доступна возможность установки  нового PIN-кода. Просто закройте это окно — PIN-код верен. Можно продолжать работу с Рутокен Web.

Введенный PIN-код неверен

Если после ввода PUK-кода со скретч-карты возникает ошибка «Введенный PIN-код неверен», это означает, что PUK-код был изменен. Без знания PUK-кода разблокировать невозможно. Проверьте правильность указанного PUK-кода, возможно он был изменен вами ранее.

При необходимости проверки введенной информации можно снять флаг «Скрывать символы».

Если узнать текущий PUK-код не удастся, необходимо обратиться в организацию, предоставившую вам Рутокен Web.

Для чего используется PIN-код администратора Рутокен и как его хранить

Пин-код администратора позволяет управлять настройками и пин-кодами пользователей ключевого носителя. Руководство осуществляется через программу «Панель управления Рутокен». Пароль запоминают или хранят в надёжном месте, недоступном для третьих лиц

Если снять блокировку не удалось

Если разблокировать Рутокен специально предназначенными для этого средствами не удалось (по причине отсутствия информации о пин-коде администратора), то снять блокировку с него можно только путём форматирования.

Поскольку при форматировании с Рутокена с него будут удалены все электронные подписи, производить форматирование Рутокена имеет смысл только в том случае, если у системного администратора имеются копии этих подписей. В противном случае подписи всё равно придётся заказывать в удостоверяющем центре, и сотрудники центра сами вернут Рутокен в рабочее состояние.

Я всегда стараюсь делать копии всех полученных в удостоверяющем центре подписей. Ведь пользователи могут не только довести до блокировки ключевой контейнер, но и сжечь, сломать или потерять съёмный носитель.

Перед началом процесса форматирования на экран будет выведено предупреждение.

Затем пользователю будет предоставлена возможность ознакомиться и изменить, если это надо, настройки Рутокена. Пин-коды по умолчанию — 12345678 и 87654321.

После щелчка по кнопке «Начать» начнётся процесс форматирования токена (см. рис. ниже). По завершению процесса будет выведено соответствующее сообщение.

Инструкция, как ввести пин-код администратора в «Панели управления Рутокен»

Как разблокировать Рутокен с помощью панели управления Рутокен

Если попытки ввода пароля исчерпаны, чтобы разблокировать Рутокен, пользователю необходимо зайти в панель управления. Сделать это можно двумя путями, всё зависит от операционной системы вашего компьютера:

Если пароль забыт или утерян, а попытки ввода исчерпаны, для восстановления пин-кода потребуется выполнить следующие действия:

Стандартный пароль Администратора на Рутокен — 87654321
После ввода пин-кода нажать «ОK».

После данных действий необходимо ввести стандартный пароль по умолчанию. Заводской пароль Рутокен — 12345678.

Если Рутокен заблокировался

В появившемся при этом диалоге необходимо установить переключатель в положение «Администратор» (см. рис. ниже), ввести пин-код администратора и щёлкнуть по кнопке «ОК».

Если после ввода пин-кода появилось сообщение об ошибке (см. рис. ниже), можно попробовать ввести пин-код ещё раз. Но если попытка опять окажется неудачной, значит надо звонить в службу техподдержки той компании, которая продала Вам Рутокен — возможно они изменили пин-код администратора.

Кроме того, после успешного ввода пин-кода станет активной кнопка «Разблокировать» в группе «Управление PIN-кодами» (см. рис. ниже).

При нажатии на кнопку «Разблокировать» счётчик неудачных попыток ввода пин-кода будет сброшен в исходное состояние, и Рутокен разблокируется. На экран при этом будет выведено соответствующее сообщение.

Снятие блокировки с помощью КриптоПро CSP

В появившемся окне «Управление ключевыми носителями» необходимо выбрать в списке нужный тип носителя и нажать кнопку «Свойства» (см. рис. ниже).

В окне свойств носителя необходимо перейти на вкладку «Информация» и щёлкнуть по кнопке «Разблокировать PIN-код» (см. рис. ниже). При этом программа попросит ввести пин-код администратора и, если пин-код будет введён правильно, разблокирует Рутокен.

Как поставить новый пароль на Рутокен

Для безопасности необходимо изменить пароль от Рутокен. Сделать это можно следующим образом:

После данных действий пин-код пользователя изменится на новый.

Как посмотреть количество оставшихся попыток ввода неправильного PIN-кода администратора

Как разблокировать Рутокен с помощью пароля по умолчанию

В случае когда пароль от Рутокен забыт или утерян, пользователь может попробовать ввести стандартный пин-код, чтобы разблокировать токен. Его имеют все носители.

Стандартный пин-код от Рутокен — 12345678

Если заводской пароль не подошёл, значит, пин-код был изменён. Пароль от Рутокен не может быть пустым.

PIN-код Пользователя заблокирован

Если количество попыток ввода PIN-кода Пользователя исчерпано, PIN-код блокируется.

По умолчанию установлено 10 попыток, если ранее не производилось дополнительного форматирования с изменением этого количества.

Для начала необходимо разблокировать PIN-код Пользователя, для этого выполните следующие действия:

Затем откройте «Панель управления Рутокен» на вкладке «Администрирование» и нажмите кнопку «Информация».

В зависимости от установленного значения в пункте «PIN-код Пользователя может быть изменен:», выполните действия по инструкции:

1. Попытайтесь вспомнить забытый PIN-код Пользователя.

Разблокируйте его, войдя под PIN-кодом Администратора и нажав кнопку «Разблокировать» — количество попыток ввода PIN-кода возвращается к своему установленному максимальному значению. После разблокировки выйдите из-под учетной записи Администратора и попробуйте вспомнить PIN-код Пользователя. Изменить PIN-код Пользователя, не введя текущий PIN-код нельзя.

Пользователем и Администратором