Чернова Елена
10 июля 2013PIN-код для токенов: пароль с особыми правилами
Основных форм-факторов, в которых выпускаются токены, три: USB-токен, смарт-карта и брелок. Защита при помощи PIN-кода чаще всего встречается в USB-токенах, хотя последние модели USB-токенов выпускаются с возможностью установки RFID-метки и с жидкокристаллическим дисплеем для генерации одноразовых паролей.
Остановимся подробнее на принципах функционирования токенов с PIN-кодом. PIN-код - это специально заданный пароль, который разбивает процедуру аутентификации на два этапа: присоединение токена к компьютеру и ввод собственно PIN-кода.Наиболее популярные модели токенов на современном электронном рынке России – Рутокен, eToken от компании “Аладдин”, и электронный ключ от компании “Актив”. Рассмотрим наиболее часто задаваемые вопросы касательно PIN-кодов для токена на примере токенов этих производителей.
1. Какой PIN-код используется по умолчанию?
В таблице ниже представлены информация о PIN-кодах по умолчанию для токенов Рутокен и eToken. Пароль по умолчанию отличается для разных уровней владельцев.
Владелец | Пользователь | Администратор |
Рутокен | 12345678 | 87654321 |
eToken |
1234567890 | По умолчанию пароль администратора не устанавливается. Может быть установлен через панель управления только для моделей eToken PRO, eToken NG- FLASH, eToken NG-OTP. |
JaCarta PKI |
11111111
При использовании JaCarta PKI с опцией "Обратная совместимость" - PIN-код - 1234567890
|
00000000
При использовании JaCarta PKI с опцией "Обратная совместимость" - PIN-код не установлен
|
JaCarta-2 ГОСТ |
1234567890
|
PUK-код для разблокирования – 0987654321 |
JaCarta PKI/2ГОСТ |
Для PKI-функционала: 11111111
При использовании JaCarta PKI с опцией "Обратная совместимость" - PIN-код - 1234567890
Для ГОСТ-функционала: PIN-код не задан
|
Для PKI-функционала: 00000000
При использовании JaCarta PKI с опцией "Обратная совместимость" - PIN-код не установлен
Для ГОСТ-функционала: 1234567890
|
JaCarta PKI/ГОСТ/SE |
Для PKI-функционала: 11111111
Для ГОСТ-функционала: 0987654321
|
Для PKI-функционала: 00000000
Для ГОСТ-функционала: 1234567890
|
JaCarta PKI/BIO | 11111111 | 00000000 |
JaCarta PKI/Flash | 11111111 | 00000000 |
ESMART Token | 12345678 | 12345678 |
карта IDPrime | 0000 | 48 нулей |
JaCarta PRO/JaCarta LT | 1234567890 | 1234567890 |
«MS_KEY K» -Ангара | 11111111 |
12345678 Для токена с PKCS#11 - 12345678 (PIN и SOPIN) |
2. Надо ли изменять PIN-код по умолчанию? Если да, то в какой момент работы с токеном?
PIN-код по умолчанию настоятельно рекомендуется изменить сразу после старта работы с токеном.3. Что делать, если PIN-коды на токене неизвестны, а PIN-код по умолчанию уже сброшен?
Единственный выход — полностью очистить (отформатировать) токен.
4. Что делать, если PIN-код пользователя заблокирован?
Разблокировать PIN-код пользователя можно через панель управления токена. Для выполнения этой операции необходимо знать PIN-код администратора.
5. Что делать, если PIN-код администратора заблокирован?
Разблокировать PIN-код администратора невозможно. Единственный выход — полностью очистить (отформатировать) токен.
6. Какие меры безопасности предприняты производителями для снижения риска подбора пароля?
Основные пункты политики безопасности для PIN-кодов USB-токенов компаний “Аладдин” и “Актив” представлены в таблице ниже. Проанализировав данные таблицы можно сделать вывод, что eToken предположительно будет иметь более защищенный пин код. Рутокен, хоть и позволяет задавать пароль всего из одного символа, что небезопасно, по остальным параметрам не уступает продукту компании “Аладдин”.
Параметр | eToken | Рутокен |
Минимальная длина PIN-кода | 4 | 1 |
Состав PIN-кода
|
Буквы, цифры, специальные символы | Цифры, буквы латинского алфавита |
Рекомендуемая длина PIN-кода
|
Больше или равно 7 | До 16 |
Администрирование безопасности PIN-кода
|
Есть | Есть |
Защита от атак с использованием методов полного перебора и подбора по словарю
|
Есть | Есть |
Значение по умолчанию счетчика неправильного ввода
|
15 | 15 |
Возможность менять значение счетчика неправильного ввода
|
Есть | Есть |
Автоматическая блокировка при превышении количества попыток неправильного ввода
|
Есть | Есть |
Обнуление счетчика при первой успешной попытке ввода PIN-кода
|
Есть | Есть |
Важность сохранения PIN-кода в секрете известна всем тем, кто использует токены в личных целях, хранит на нем свою электронную подпись, доверяет электронному ключу информацию не только личного характера, но и детали своих бизнес-проектов. Токены компаний “Аладдин” и “Актив” обладают предустановленными защитными свойствами и вместе с определенной долей предосторожности, которая будет проявлена пользователем, снижают риск подбора пароля до минимума.
Программные продукты Рутокен и eToken представлены в интернет-магазине Cryptostore.ru в различных конфигурациях и форм-факторах. Предлагаемый ассортимент позволит вам выбрать именно ту модель токена, которая наиболее отвечает вашим требованиям, будь то токен в виде USB-брелока или электронный ключ, дополненный флэш-картой для хранения ваших данных.