Les jetons, clés électroniques permettant d'accéder à des informations importantes, sont de plus en plus populaires en Russie. Un jeton n'est désormais plus seulement un moyen d'authentification dans un système d'exploitation informatique, mais également un dispositif pratique pour stocker et présenter des informations personnelles : clés de cryptage, certificats, licences, identifications. Les tokens sont plus fiables que la paire standard « login/mot de passe » grâce au mécanisme d’identification à deux facteurs : c’est-à-dire que l’utilisateur doit non seulement disposer d’un support de stockage (le token lui-même), mais également connaître le code PIN.
Il existe trois principaux formats de jetons sous lesquels les jetons sont émis : le jeton USB, la carte à puce et le porte-clés. La protection par code PIN se trouve le plus souvent dans les jetons USB, bien que des modèles récents de jetons USB soient disponibles avec la possibilité d'installer une étiquette RFID et avec un écran LCD pour générer des mots de passe à usage unique.
Regardons de plus près les principes de fonctionnement des tokens avec code PIN. Un code PIN est un mot de passe spécialement défini qui divise la procédure d'authentification en deux étapes : attacher un jeton à l'ordinateur et saisir le code PIN lui-même.
Les modèles de jetons les plus populaires sur le marché électronique russe moderne sont le Rutoken, l'eToken de la société Aladdin et la clé électronique de la société Aktiv. Examinons les questions les plus fréquemment posées concernant les codes PIN des jetons en utilisant l'exemple des jetons de ces fabricants.
1. Quel est le code PIN par défaut ?
Le tableau ci-dessous fournit des informations sur les codes PIN par défaut pour les jetons Rutoken et eToken. Le mot de passe par défaut est différent selon les niveaux de propriétaire.
| Propriétaire | Utilisateur | Administrateur |
| Rutoken | 12345678 | 87654321 |
| jeton électronique |
1234567890 | Par défaut, aucun mot de passe administrateur n'est défini. Peut être installé via le panneau de commande uniquement pour les modèles eToken PRO, eToken NG-FLASH, eToken NG-OTP. |
| JaCarta PKI | 11111111 | 00000000 |
| Jacarta GOST | Non spécifié | 1234567890 |
| JaCarta PKI/GOST |
Pour la fonctionnalité PKI : 11111111
Lors de l'utilisation de JaCarta PKI avec l'option « Rétrocompatibilité » - Code PIN - 1234567890 Pour la fonctionnalité GOST : Aucun code PIN n'a été défini |
Pour la fonctionnalité PKI : 00000000
Lors de l'utilisation de JaCarta PKI avec l'option « Compatibilité ascendante » - aucun code PIN n'est défini Pour la fonctionnalité GOST : 1234567890 |
| JaCarta PKI/GOST/SE |
Pour la fonctionnalité PKI : 11111111
Pour la fonctionnalité GOST : 0987654321 |
Pour la fonctionnalité PKI : 00000000
Pour la fonctionnalité GOST : 1234567890 |
| JaCarta PKI/BIO | 11111111 | 00000000 |
| JaCarta PKI/Flash | 11111111 | 00000000 |
| Jeton ESMART | 12345678 | 12345678 |
| Carte IDPrime | 0000 | 48 zéros |
| JaCarta PRO/JaCarta LT | 1234567890 | 1234567890 |
2. Dois-je modifier le code PIN par défaut ? Si oui, à quel moment travailler avec le jeton ?
3. Que dois-je faire si les codes PIN sur le token sont inconnus et que le code PIN par défaut a déjà été réinitialisé ?
La seule issue est d'effacer (formater) complètement le jeton.
4. Que dois-je faire si le code PIN de l'utilisateur est bloqué ?
Vous pouvez déverrouiller le code PIN de l'utilisateur via le panneau de configuration des jetons. Pour effectuer cette opération, vous devez connaître le code PIN de l'administrateur.
5. Que dois-je faire si le code PIN administrateur est bloqué ?
Le code PIN administrateur ne peut pas être déverrouillé. La seule issue est d'effacer (formater) complètement le jeton.
6. Quelles mesures de sécurité les fabricants ont-ils prises pour réduire le risque de deviner un mot de passe ?
Les principaux points de la politique de sécurité des codes PIN des tokens USB des sociétés Aladdin et Aktiv sont présentés dans le tableau ci-dessous. Après avoir analysé les données du tableau, nous pouvons conclure qu'eToken aura probablement un code PIN plus sécurisé. Rutoken, bien qu'il vous permette de définir un mot de passe d'un seul caractère, ce qui est dangereux, à d'autres égards, il n'est pas inférieur au produit de la société Aladdin.
| Paramètre | jeton électronique | Rutoken |
| Longueur minimale du code PIN | 4 | 1 |
|
Composition du code PIN |
Lettres, chiffres, caractères spéciaux | Chiffres, lettres de l'alphabet latin |
| Supérieur ou égal à 7 | Jusqu'à 16 | |
|
Administration de la sécurité du code PIN |
Manger | Manger |
| Manger | Manger |
L'importance de garder le code PIN secret est connue de tous ceux qui utilisent des tokens à des fins personnelles, y stockent leur signature électronique et confient à la clé électronique des informations non seulement de nature personnelle, mais également les détails de leurs projets commerciaux. Les jetons des sociétés « Aladdin » et « Active » ont des propriétés de sécurité préinstallées et, associées à une certaine prudence qui sera exercée par l'utilisateur, réduisent au minimum le risque de deviner le mot de passe.
Les produits logiciels Rutoken et eToken sont présentés dans diverses configurations et facteurs de forme. L'assortiment proposé vous permettra de choisir exactement le modèle de token qui répond le mieux à vos exigences, qu'il s'agisse
Les cartes à puce Rutoken et Rutoken Light sont utilisées comme supports d'informations clés. Des informations détaillées sur ces supports sont disponibles sur le site Internet de la société Aktiv, développeur d'outils d'authentification russes.
Rutoken Lumière Rutoken
Codes PIN standards
12345678 - code PIN personnalisé pour Rutoken et Rutoken Light, défini par le fabricant.
Lorsqu'une fenêtre apparaît vous demandant de saisir un code PIN, vous devez saisir la valeur 12345678.
Pour l'opérateur Rutoken, si le code PIN standard (12345678) a été modifié indépendamment à l'aide du « Panneau de configuration Rutoken », alors dans cette fenêtre, vous devez indiquer le nouveau code PIN attribué lors du changement. Les informations sur le nouveau code PIN sont stockées uniquement par l'abonné et ne sont pas connues de l'opérateur de communication spécial.
Comment débloquer le code PIN Rutoken ?
Le code PIN est bloqué après 10 tentatives de saisie incorrectes.
Vous pouvez débloquer Rutoken ou Rutoken Light de 2 manières :
Comment débloquer le code PIN via Panneau de contrôle Rutoken
1. Ouvrez le menu « Démarrer » > « Panneau de configuration » > « Panneau de contrôle Rutoken" Allez dans l'onglet « Administration » et cliquez sur le bouton « Entrer le code PIN », sélectionnez l'élément « Administrateur », saisissez le code PIN standard od - 87654321, cliquez sur OK.
2. Après avoir saisi le code PIN administrateur, le bouton « Débloquer » deviendra disponible, vous devrez cliquer dessus, un message apparaîtra sur le déverrouillage réussi.
Comment débloquer un code PIN viaCrypto Pro CSP
1. Ouvrez le menu Démarrer > Panneau de configuration > Crypto Pro CSP. Allez dans l'onglet « Matériel » et cliquez sur le bouton « Configurer les types de médias ».
2. Sélectionnez Rutoken ou Rutoken Lite et cliquez sur le bouton « Propriétés ». Si ces médias ne figurent pas dans la liste, vous devez mettre à jour le module de support. Pour ce faire, il est recommandé d'utiliser le service Diagnostics.
3. Allez dans l'onglet « Informations » et cliquez sur le bouton « Débloquer le code PIN ». Si l'onglet Informations est manquant, vous devez mettre à jour le module de support. Pour ce faire, il est recommandé d'utiliser le service Diagnostics.
Le bouton Débloquer le code PIN sera grisé si la carte à puce n'est pas verrouillée. Dans ce cas, des informations sur le nombre restant de tentatives de saisie du code PIN seront affichées.
4. Un message indiquant un déverrouillage réussi apparaîtra.
Il est impossible de déverrouiller le code PIN administrateur sans perdre de données.
1. Téléchargez et installez des programmes :
- Client unique de JaCarta et JaCarta SecurLogon
- Jacarta GOST
- JaCarta PKI
Tous ces programmes peuvent être téléchargés depuis le site du fabricant via le lien http://www.aladdin-rd.ru/support/downloads/jacarta/
Redémarrez votre ordinateur et insérez votre clé JaCarta.
De là, nous téléchargeons et installons FSRAR - Crypto 2
Redémarrez à nouveau l'ordinateur.
3. Accédez à nouveau à la page https://service.egais.ru/checksystem/check et cliquez sur le bouton « Démarrer les tests »
Si vous voyez l'erreur : « Clé matérielle introuvable. Veuillez insérer la clé matérielle avant le prochain test"
- assurez-vous que la clé JaCarta est installée sur votre ordinateur (vous pouvez la vérifier dans le programme JaCarta - manager, qui devrait apparaître dans la barre d'état) ;
- retirez les autres clés et clés USB ;
- assurez-vous que JaCarta Unified Client et JaCarta SecurLogon sont installés.
Si cela réussit, vous devriez voir une fenêtre comme celle-ci dans laquelle vous entrez le code PIN de la clé matérielle, ce sera très probablement « 0987654321 » - le code PIN devrait vous être fourni par la société qui a vendu la clé.
Choisissez un certificat
Cliquez sur le bouton « Générer une clé » pour le point souhaité. Entrez le code PIN pour accéder à la mémoire RSA, ce sera très probablement « 11111111 » et générez une clé.
et entrez à nouveau le code PIN pour accéder à la mémoire RSA
Téléchargez le kit de distribution UTM depuis l'onglet « Module de transport » ou depuis le lien http://egais.ru/files/SimpleInstaller.zip
Nous démarrons l'installation d'UTM en cliquant sur le bouton « Exécuter »
Après l'installation, redémarrez l'ordinateur ou démarrez manuellement les services « Transport » et « Transport Updater »
UTM utilise le port 8080, vous devez donc vous assurer que d'autres programmes n'utilisent pas ce port. Si vous accédez à UTM via le réseau, vous devez créer des règles d'autorisation pour le port 8080 dans le pare-feu.
J'espère que ce matériel vous a été utile, laissez des commentaires et partagez votre expérience d'installation d'UTM.
L'opérateur Jacarta PKI/GOST est bloqué lorsque plusieurs tentatives sont faites pour saisir un code PIN incorrect. Dans ce cas, la connexion avec le serveur FSRAR est perdue et les données de facturation ne rentrent pas dans votre système comptable. Comment déverrouiller rapidement la clé et restaurer le travail avec EGAIS ?
Par défaut, tous les nouveaux médias ont les mots de passe suivants :
| ICP | 11 11 11 11 |
| Administrateur PKI | 00 00 00 00 |
| GOST | 0987654321 |
| Administrateur GOST | 1234567890 |
Pour supprimer le verrou, le client unifié Jacarta doit être installé sur votre ordinateur. Si la configuration et l'installation d'EGAIS ont été effectuées par nos spécialistes, alors vous disposez déjà de ce programme.
Exécutez le programme et attendez que les informations sur le support Jacarta PKI/GOST apparaissent dans la fenêtre Unified Client.
Suppression du verrou GOST
La section GOST contient le certificat KEP délivré par le centre de certification. sois prudent- Vous ne pouvez supprimer aucun composant de cette section. Après suppression, vous devrez recontacter le centre de certification pour émettre une clé.
Pour déverrouiller le code PIN GOST, dans le menu supérieur « Opérations de l'application », sélectionnez le premier élément « Débloquer le code PIN utilisateur ». Une notification apparaîtra à l'écran indiquant que la suppression du verrou réinitialisera le compteur des tentatives de saisie incorrectes.
Cliquez sur « OK » et dans la fenêtre nouvellement ouverte, entrez Code PIN de l'administrateur Jacarta GOST 1234567890. Après avoir réinitialisé le compteur d'erreurs, entrez le code PIN utilisateur standard GOST 0987654321.
Important : cette procédure permettra uniquement de réinitialiser le compteur, mais ne remplacera pas le mot de passe oublié par un nouveau. Si vous avez modifié le mot de passe GOST par défaut et l'avez oublié, vous devrez initialiser et enregistrer à nouveau la clé au centre de certification.
Déblocage de la PKI
Le conteneur PKI contient une clé RSA, qui est générée dans votre compte personnel sur le site Web egais.ru. Si vous perdez votre code PIN, cette section peut être initialisée (complètement effacée), puisque vous pouvez réenregistrer la clé vous-même et gratuitement, sans contacter un centre de certification.
Description du problème. Pour travailler avec EGAIS, le transporteur JaCarta PKI/GOST/SE est utilisé. Souvent une des sections est bloquée (section PKI). Dans ce cas, la poursuite du travail avec EGAIS est impossible.
Raison du blocage– accès fréquent du module de transport universel au média JaCarta. Si dix tentatives d'autorisation infructueuses sont effectuées, le média verrouille la section et empêche la poursuite du travail.
Il existe deux manières de résoudre le problème :
- Contactez le centre de certification qui a délivré le support.
- Déverrouillez vous-même le média JaCarta selon les instructions.
Instructions utilisant Microsoft Windows 10 comme exemple.
Instructions étape par étape sur la façon de déverrouiller une partition PKI
Étape 1. Passer en mode administration
Dans le menu Démarrer, recherchez l'application JaCarta Unified Client et ouvrez-la.
Riz. 1. Client JaCarta unique
L'espace de travail du programme s'ouvrira.
Riz. 2. Passer en mode administration
L'espace de travail du programme s'ouvrira. Si la section PKI est verrouillée, l'onglet PKI sera rouge.
Riz. 3. Informations sur les jetons
Étape 2. Vérification du blocage de la partition PKI
Pour comprendre que la section PKI est réellement bloquée, cliquez sur le lien « Informations complètes… » dans l'onglet « Informations sur le token ».
Les « Détails du jeton » s'ouvriront. Dans la nouvelle fenêtre, recherchez la section Informations sur l'application PKI. Si l'état de la ligne « Code PIN » est « Bloqué », fermez la fenêtre et passez à l'étape suivante des instructions.
Riz. 4. Détails du jeton
Étape 3. Déverrouillage de la partition PKI
Allez dans l'onglet "PKI". Dans le panneau Opérations de l'application, sélectionnez Débloquer le code PIN utilisateur....
La fenêtre « Déverrouillage du code PIN utilisateur » s'ouvrira, dans laquelle préciser :
- Le code PIN administrateur actuel est 00000000 par défaut ;
- Nouveau code PIN utilisateur - par défaut 11111111 ;
- Confirmation du code (c'est-à-dire le code PIN de l'utilisateur).
Riz. 6. Déverrouillez le code PIN de l'utilisateur
Après avoir spécifié les codes PIN, cliquez sur « Exécuter ».
Si tout est saisi correctement, une notification apparaîtra. Cliquez sur "OK" pour terminer.
Riz. 7. Notification de déverrouillage réussi
Accédez à l’onglet Informations sur le jeton et cliquez sur le lien Informations complètes pour vérifier l’état actuel de l’application PKI. Le statut doit être « Installé ».
Riz. 8. Vérification de l'état
Si l'état a changé, le déverrouillage est terminé.