Kui kasutaja sisestas mitu korda vale parooli, võib eToken olla blokeeritud.
eTokeni avamiseks peate järgima allkirjeldatud samme ja andma kasutajale isegi lingi mälutreeningu raamatule, seda sõbralikult.
Unustasin oma etokeni parooli, mida ma peaksin tegema?
Me kõik oleme inimesed, meil kõigil on omad probleemid ja mured, sageli lendavad mälust välja asjad, mida me sageli ei kasuta, selline asi võib olla etokeni kasutajal, näiteks punane või sinine mälupulk. Ärge muretsege, me parandame selle.
Käivitage eToken PKI Client programm (vajadusel installige programm)
Valige eTokeni lugeja ja klõpsake siis "Kuva üksikasjalik vaade"
Klõpsake nuppu "Logi sisse administraatorina"
Sisestage administraatori parool ja klõpsake nuppu " Okei" . Vaikimisi peab eTokenil olema administraatori parool. 0987654321
Kui administraatori parool sisestati õigesti, peaks ilmuma teade "Sisse logitud administraatorina"
Seejärel klõpsake nuppu "Määra kasutaja parool"
Määrake uus parool ja klõpsake nuppu " Okei" (soovitame tungivalt kasutada vaikeparooli) 1234567890 ), et te ei unustaks.
Aastaks 2008 läheneb kasutatavate USB-võtmete arv muude autentimisvahendite arvule.
IDC 2004
Sissejuhatus
Tänapäeval on arvutite laialdase kasutamise tõttu üha enam vaja mõelda töödeldud info turvalisusele. Turvalisuse esimene samm on seadusliku kasutaja autentimine.
Kõige tavalisem autentimisviis on parool. Lisaks kasutavad enam kui 60% kasutajatest, nagu praktika näitab, enamasti erinevate süsteemide jaoks samu paroole. Ütlematagi selge, et see vähendab oluliselt turvalisuse taset. Mida teha?
Minu arvates oleks üks probleemi lahendusi riistvaralise autentimisvõtmete kasutamine. Vaatleme nende rakendust üksikasjalikumalt Aladdini USB-võtmete näitel.
Mis on eToken?
eToken (joonis 1) on isiklik seade autentimiseks ja andmete salvestamiseks, mis on riistvaratoega digitaalsete sertifikaatide ja elektroonilise digitaalallkirjaga (EDS) töötamiseks. eToken väljastatakse järgmisel kujul:
- eToken PRO on USB-dongle, mis võimaldab kahefaktorilist autentimist. Saadaval 32K ja 64K versioonina.
- eToken NG-OTP on hübriid USB-donglist ja seadmest, mis genereerib ühekordseid paroole (One Time Password, OTP). Saadaval 32K ja 64K versioonina.
- eToken PRO kiipkaart on seade, mis täidab samu funktsioone nagu USB-võti, kuid tavalise krediitkaardi kujul. Saadaval 32K ja 64K versioonina.
Edaspidi räägime konkreetselt USB-võtmetest, mis on ühendatud otse arvuti USB-porti ja erinevalt kiipkaardist ei vaja spetsiaalset lugejat.
eTokenil on turvaline püsimälu ja seda kasutatakse paroolide, sertifikaatide ja muude salajaste andmete salvestamiseks.
Joonis 1 eToken Pro 64k
eToken seade
eToken PRO tehnoloogia komponendid:
- Kiipkaardi kiip Infineon SLE66CX322P või SLE66CX642P (EEPROM mahuga vastavalt 32 või 64 KB);
- Kiipkaart OS Siemens CardOS V4.2;
- Riistvarapõhised algoritmid: RSA 1024bit, DES, Triple-DES 168bit, SHA-1, MAC, Retail-MAC, HMAC-SHA1;
- Riistvara juhuslike arvude generaator;
- USB-liidese kontroller;
- Jõuallikas;
- Korpus on valmistatud kõvast plastikust, mida ei saa tuvastada.
eToken NG-OTP seadmesse on lisaks lisatud järgmised komponendid:
- Ühekordne parooligeneraator;
- Nende põlvkonna nupp;
- LCD ekraan;
Liidese tugi:
- Microsoft Crypto API
- PKCS#11.
PIN-koodi
eTokeni mällu salvestatud andmetele juurdepääsu saamiseks peate sisestama PIN-koodi (Personal Identification Number). PIN-koodis ei ole soovitatav kasutada tühikuid ja vene tähti. PIN-kood peab siiski vastama failis %systemroot%\system32\etcpass.ini määratud kvaliteedikriteeriumidele.
Seda PIN-koodi kvaliteedikriteeriume sisaldavat faili redigeeritakse utiliidi eToken Properties abil.
Juurdepääsuõigused eTokenile
Sõltuvalt eTokeni mudelist ja vormindamisel valitud suvanditest on eTokenile nelja tüüpi juurdepääsuõigusi:
- külaline– võimalus vaadata objekte avatud mälualal; võimalus hankida süsteemi mälualast eTokeni kohta üldist teavet, sealhulgas eTokeni nime, identifikaatoreid ja mõningaid muid parameetreid. Külalise juurdepääsu korral pole PIN-koodi teadmine vajalik;
- kohandatud– õigus vaadata, muuta ja kustutada objekte suletud, avatud ja vabas mälupiirkonnas; võimalus saada eTokeni kohta üldist teavet; õigus muuta PIN-koodi ja nimetada eToken ümber; õigus seadistada privaatmäluala sisu vahemällu salvestamise seadeid ja privaatvõtmete lisakaitset parooliga (administraatori parooli puudumisel või administraatori loal), õigus eTokenis sertifikaate vaadata ja kustutada poe ja RSA võtmekonteinerid;
- administratiivne– õigus muuta kasutaja PIN-koodi ilma seda teadmata; õigus muuta administraatori parooli; õigus konfigureerida privaatmäluala sisu vahemällu salvestamise seadeid ja privaatvõtmete lisakaitset parooliga, samuti võimalus teha need sätted kasutajarežiimis kättesaadavaks;
- initsialiseerimine– õigus vormindada eToken PRO.
Ainult kaks esimest tüüpi õigusi kehtivad eToken R2 puhul, kõik neli eToken PRO ja eToken NG-OTP puhul.
Administraatori juurdepääsu eToken PRO-le saab teha alles pärast õige administraatoriparooli sisestamist. Kui vormindamise ajal administraatori parooli ei määrata, ei saa te administraatori õigustega taotleda.
Tarkvara eTokeni jaoks
Üldine informatsioon
eToken Run Time Environment 3.65
eToken Run Time Environment (eToken RTE) on eToken-draiverite komplekt. See tarkvarapakett sisaldab utiliiti eToken Properties.
Selle utiliidi abil saate:
- konfigureerida eTokeni ja selle draiverite parameetreid;
- vaadata üldist teavet eTokeni kohta;
- importida, vaadata ja kustutada sertifikaate (v.a sertifikaadid eTokenExi poest) ja RSA võtmekonteinereid;
- vorming eToken PRO ja eToken NG-OTP;
- seadistada PIN-koodi kvaliteedikriteeriumid.
Selle tarkvara installimiseks on vaja kohaliku administraatori õigusi. Tuleb meeles pidada, et enne eToken RTE installimist ei saa te eToken võtit ühendada.
Tarkvara tuleb installida järgmises järjekorras:
- eToken RTE 3,65;
- eToken RTE 3.65 RUI (liidese venestamine);
- eToken RTX.
Paigaldamine ja eemaldamine kohalikus arvutis eToken RTE 3.65
Paigaldamine
Joonis 2 eToken Run Time Environment 3.65 Seadistamine
Aknas (joonis 3) peate litsentsilepingut lugema ja sellega nõustuma.
Joonis 3 Lõppkasutaja litsentsileping
Kui te ei nõustu litsentsilepingu tingimustega, klõpsake nuppu "Tühista" ja katkestage installiprotsess.
Kui nõustute litsentsilepinguga, valige "Nõustun litsentsilepinguga" ja klõpsake nuppu "Järgmine". Ekraanil näete järgmist akent (joonis 4):
Joonis 4 Rakenduse installimiseks valmis
Installimine võtab veidi aega.
Installiprotsessi lõpus (joonis 5) klõpsake nuppu "Lõpeta".
Joonis 5 eToken Run Time Environment 3.65 on edukalt installitud
Võimalik, et peate installimise lõpus arvuti taaskäivitama.
eToken RTE 3.65 RUI
Paigaldamine
eToken RTE 3.65 RUI installimiseks peate käivitama installeri.
Joonis 6 eToken 3.65 RUI installimine
Ilmuvas aknas (joonis 6) klõpsake nuppu "Järgmine".
Joonis 7 Venekeelse kasutajaliidese installimise lõpetamine
Kasutades käsurida
Saate kasutada käsurida eToken RTE 3.65, eToken RTE 3.65 RUI ja eToken RTX installimiseks ja desinstallimiseks.
Käskude näited:
- msiexec /qn /i
- msiexec /qb /i
- /q– eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) installimine automaatrežiimis ilma vaikeparameetritega dialoogiakendeta;
- /qb– eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) installimine automaatrežiimis vaikeparameetritega ja paigaldusprotsessi kuvamine ekraanil;
- msiexec /qn /x– eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) eemaldamine automaatrežiimis ilma dialoogiboksideta;
- msiexec /qb /x– eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) eemaldamine automaatrežiimis koos eemaldamisprotsessi kuvamisega ekraanil.
eToken USB-võtme ühendamine arvutiga esimest korda
Kui teie arvutisse on installitud eToken RTE 3.65, ühendage eToken USB-porti või pikenduskaabliga. Pärast seda algab uute seadmete töötlemise protsess, mis võib võtta aega. Kui uue seadme töötlemine on lõppenud, süttib eTokenil märgutuli.
Utiliit eToken Properties
Joonis 8 Programmi aken "eTokeni omadused"
Utiliit eToken Properties võimaldab teil teha põhilisi märgihaldustoiminguid, nagu paroolide muutmine, eTokeni mälus asuva teabe ja sertifikaatide vaatamine. Lisaks saate utiliidi eToken Properties abil kiiresti ja lihtsalt sertifikaate arvuti ja eTokeni vahel üle kanda, samuti võtmeid eTokeni mällu importida.
Nupp "Unblock" on vajalik, kui kasutaja on unustanud oma PIN-koodi ega saa tulla eTokeni administraatori juurde (näiteks on kasutaja tööreisil). Võttes administraatoriga e-posti teel ühendust, on kasutajal võimalik saada administraatorilt selle eTokeni kuueteistkümnendsüsteemi päring, mis on genereeritud TMS andmebaasi salvestatud andmete alusel, mille sisestamisel väljale "vastus" kasutaja on juurdepääs PIN-koodi muutmiseks.
Joonis 9 Arvuti vahekaart
PIN-koodi muutmine toimub vastavalt joonisele fig. kümme:
Joonis 10 Muuda PIN-koodi
PIN-koodi muutmisel on vajalik, et uus PIN-kood vastaks sisestatud parooli kvaliteedinõuetele. Parooli kvaliteeti kontrollitakse vastavalt sisestatud kriteeriumidele.
Kontrollimaks, kas parool vastab valitud kriteeriumidele, sisestage parool reale. Selle rea all kuvatakse teave selle kohta, miks sisestatud parool ei vasta valitud kriteeriumidele protsentides ning sisestatud parooli kvaliteeti kuvatakse tinglikult graafiliselt ja protsentides vastavalt valitud kriteeriumidele.
Kriteeriumide loend
Tabelis on loetletud PIN-koodi kvaliteedikriteeriumid ja nende konfigureeritavad väärtused. Negatiivset väärtust, väljendatuna protsentides, saab kasutada kriteeriumi väärtusena. Seda väärtust nimetatakse trahviks.
Kriteerium | Kirjeldus | Võimalikud väärtused | Vaikeväärtus |
PIN-kood sisaldab tähestiku järjestuses tähemärkide jada | |||
märgijada pikkus ABOrder kriteeriumi jaoks | |||
uus parool on võrdne praegusega | |||
sõnastiku parool | |||
uus parool on võrdne ühega eelmistest | |||
DefaultPassChange | muuda vaikeparooli | Puudub (parooli muutmine pole vajalik); | |
sõnastiku fail | sõnastikufaili absoluutne tee | pole seatud |
|
paroolid ainult numbrid | |||
millel on kaks identset tähemärki | |||
kehtivusaeg enne muudatuste hoiatuse ilmumist (päevades) | |||
maksimaalne kehtivusaeg päevades | 0 |
||
Klaviatuuri lähedus | millel on mitu tähemärki samas järjekorras nagu klaviatuuril | ||
KeyboardProximityBase | KeyboardProximity kriteeriumi märgijada pikkus | ||
parool on nagu sõnaraamatu parool | |||
minimaalne aegumiskuupäev päevades | 0 |
||
minimaalne pikkus tähemärkides | |||
minimaalne takistus protsentides | |||
numbrite puudumine | |||
väiketähtede puudumine | |||
vene tähestiku tähtede kasutamine, mitteprinditavad ja mõned teenindusmärgid | |||
kirjavahemärkide ja erimärkide puudumine | |||
suurtähtede puudumine | |||
TelefonidJa seerianumbrid | kasutades paroolis telefoninumbreid, seerianumbreid jne. | ||
korduvate märkide olemasolu | |||
varem kasutatud paroolide arv, mis on salvestatud eTokeni mällu kriteeriumi CheckOld-Passes kontrollimiseks | |||
parooli pikkus on väiksem kui WarningLength | |||
kui parooli pikkus on väiksem kui WarningLength, kuvatakse parooli kvaliteedi kontrollimisel hoiatus | |||
parool sisaldab tühikuid |
Sõnastik
Kehtetute või soovimatute paroolide loendi määratlemiseks looge tekstifail. Või võite kasutada nn sagedussõnastikke, mida kasutatakse paroolide äraarvamiseks. Selliste sõnaraamatute failid leiate saidilt www.passwords.ru.
Sellise sõnastiku näide:
Anna
annette
arve
parool
William
Määrake kriteeriumile "Sõnastik" loodud faili tee. Sel juhul peab sõnastikufaili tee igas arvutis ühtima kriteeriumi "Sõnastik" väärtusega.
Logige Windowsi sisse eTokeniga
Üldine informatsioon
eToken SecurLogon ühendab tõhusa võrguturbe mugavuse ja mobiilsusega. Windowsi autentimine kasutab eTokeni mällu salvestatud kasutajanime ja parooli. See võimaldab rakendada žetoonidel põhinevat tugevat autentimist.
Samas lisan, et domeenistruktuuri kasutavates suurettevõtetes tuleb mõelda PKI juurutamisele ja SmartCardLogoni tsentraliseeritud kasutamisele.
eToken SecurLogoni kasutamisel võidakse kasutada tundmatuid juhuslikke keerulisi paroole. Lisaks saate kiipkaardi registreerimiseks kasutada eTokeni mällu salvestatud sertifikaate, mis suurendab Windowsi sisselogimise turvalisust.
See on võimalik, kuna Windows 2000/XP võimaldab erinevaid juurdepääsumehhanisme, mis asendavad vaikeautentimismeetodi. Interaktiivset sisselogimist võimaldava Windowsi sisselogimisteenuse (winlogon) identifitseerimis- ja autentimismehhanismid on sisse ehitatud asendatavasse dünaamilise lingi teeki (DLL) nimega GINA (graafiline identifitseerimine ja autentimine, autentimise töölaud). Kui süsteem vajab teistsugust autentimismeetodit, mis asendaks kasutajanime/parooli mehhanismi (kasutatakse vaikimisi), asendatakse standardne fail msgina.dll uue teegiga.
eToken SecurLogoni installimine asendab autentimise töölauateegi ja loob uued registrisätted. GINA vastutab interaktiivse ühenduse poliitika eest ning viib läbi kasutaja tuvastamise ja dialoogi. Töölaua autentimise teegi asendamine muudab eToken'i esmaseks autentimismehhanismiks, mis laiendab standardset Windows 2000/XP autentimist kasutajanime ja parooli alusel.
Kasutajad saavad kirjutada eTokeni mällu Windowsi sisselogimiseks vajaliku teabe (profiilid), kui see on ettevõtte turvapoliitikaga lubatud.
Profiilide loomiseks saab kasutada eToken Windowsi sisselogimisprofiili loomise viisardit.
Alustamine
eToken SecurLogon autentib Windows 2000/XP/2003 kasutaja eTokeniga, kasutades kas kasutaja kiipkaardi sertifikaati või eTokeni mällu salvestatud kasutajanime ja parooli. eToken RTE sisaldab kõiki vajalikke faile ja draivereid, et toetada eTokenit eToken Windowsi sisselogimisel.
Miinimumnõuded
eToken Windowsi sisselogimise installimise tingimused:
- eToken Runtime Environment (versioon 3.65 või 3.65) peab olema installitud kõikidesse tööjaamadesse;
- eToken SecurLogon installitakse arvutisse, kus töötab Windows 2000 (SP4), Windows XP (SP2) või Windows 2003 (SP1). eToken SecurLogon toetab klassikalist Windowsi tervitusdialoogi (kuid mitte uut Windows XP tervituskuva) ja ei toeta kasutaja kiire vahetamise režiimi Windows XP-s.
Toetatud märgid
eToken SecurLogon toetab järgmisi eToken seadmeid:
- eToken PRO on USB-dongle, mis võimaldab kahefaktorilist autentimist. Saadaval 32K ja 64K versioonidena;
- eToken NG-OTP on hübriid USB-võtmest ja seadmest, mis genereerib ühekordseid paroole. Saadaval 32K ja 64K versioonidena;
- eToken PRO kiipkaart on seade, mis täidab samu funktsioone nagu USB-võti, kuid millel on tavalise krediitkaardi kuju. Saadaval 32K ja 64K versioonina.
eToken Runtime Environment (RTE)
eToken Runtime Environment (RTE) sisaldab kõiki faile ja draivereid, mis toetavad eTokenit eToken Windowsi sisselogimisel. See komplekt sisaldab ka utiliiti eToken Properties, mis võimaldab kasutajal hõlpsasti hallata eTokeni PIN-koodi ja nime.
Kõigil uutel eTokenidel on tootmise ajal vaikimisi määratud sama PIN-kood. See PIN on 1234567890. Tugeva kahefaktorilise autentimise ja täieliku funktsionaalsuse tagamiseks on kasutajal kohustuslik asendada vaike-PIN oma PIN-koodiga kohe pärast uue eTokeni saamist.
Tähtis:PIN-koodi ei tohi segi ajada kasutaja parooliga
Windows
.
Paigaldamine
Selleks, et paigaldadaeTokenWindowsSisse logima:
- logige sisse administraatoriõigustega kasutajana;
- topeltklõps SecurLogon - 2.0.0.55.msi;
- Ilmub eToken SecurLogon installiviisardi aken (joonis 11);
- klõpsake " järgmine", Ilmub eToken Enterprise'i litsentsileping;
- lugege lepingut, klõpsake nuppu " Ivastu võtma"(Nõustun) ja seejärel nupp " järgmine";
- taaskäivitage installimise lõpus.
Joonis 11 SecurLogoni installimine
Installimine käsurea kaudu:
eToken SecurLogoni saab installida käsurealt kasutades:
msiexec / Option [valikuline]
Paigaldusvalikud:
- – toote paigaldamine või seadistamine;
- /a - haldusinstallatsioon - toote paigaldamine võrku;
- /j
Tooteteade:
- "m" – kõik kasutajad;
- "u" – praegune kasutaja;
- – Tühistage toote installimine.
Kuvavalikud:
- /quiet – vaikne režiim, kasutaja sekkumine puudub;
- /passiivne – automaatrežiim – ainult edenemisriba;
- /q – kasutajaliidese taseme valik;
- n - liides puudub;
- b – põhiliides;
- r – lühendatud liides;
- f - täielik liides (vaikimisi);
- /help – kuvab kasutusabi.
Taaskäivitamise valikud
- /norestart - ärge taaskäivitage pärast installimise lõpetamist;
- /promptrestart – küsib vajadusel uuesti installimist;
- /forcerestart – taaskäivitage arvuti alati pärast installimise lõpetamist.
Logimisvalikud
/ l ;
- i – olekuteated;
- w - teated taastatavate vigade kohta;
- e - kõik veateated;
- a – tegevuse käivitamine;
- r - toiminguga seotud kirjed;
- u – kasutaja päringud;
- c – kasutajaliidese algparameetrid;
- m - teave mälu puudumise või saatusliku vea tõttu väljumise kohta;
- o – teated ebapiisava kettaruumi kohta;
- p – terminali omadused;
- v - paljusõnaline väljund;
- x – täiendav silumisteave;
- + - lisada olemasolevale logifailile;
- ! - iga rea logisse laskmine;
- * - logige kogu teave, välja arvatud suvandid "v" ja "x", /log on samaväärne /l* .
Värskendusvalikud:
- /update [;Update2.msp] – rakenda värskendusi;
- /uninstall [;Update2.msp] /pakett – tootevärskenduste desinstallimine.
Taastamisvalikud:
/f
Toote taastamine:
- p - ainult siis, kui faili pole;
- o - kui fail puudub või on installitud vana versioon (vaikimisi);
- e - kui fail puudub või on installitud sama või vanem versioon;
- d - kui fail puudub või on installitud mõni muu versioon;;
- c - kui fail puudub või kontrollsumma ei vasta arvutatud väärtusele;
- a – põhjustab kõigi failide uuesti installimise;
- u – kõik nõutavad kasutajaspetsiifilised registrikirjed (vaikimisi);
- m - kõik vajalikud arvutipõhised registrikirjed (vaikimisi);
- s - kõik olemasolevad otseteed (vaikimisi);
- v - käivitada lähtekoodist koos kohalike pakettide vahemällu salvestamisega;
Üldiste omaduste määramine:
Lisateavet käsurea kasutamise kohta leiate Windows (R) Installeri arendajate juhendist.
Automaatne parooli genereerimine.
Kasutajaprofiili eTokeni mällu kirjutamisel saab parooli genereerida automaatselt või sisestada käsitsi. Automaatse genereerimise käigus genereeritakse juhuslik kuni 128 tähemärgi pikkune parool. Sel juhul ei tea kasutaja oma parooli ega saa ilma eToken võtmeta võrku siseneda. Ainult automaatselt genereeritud paroolide kasutamise nõude saab konfigureerida kohustuslikuks.
eToken SecurLogoni kasutamine
eToken SecurLogon võimaldab kasutajatel Windows 2000/XP/2003 sisse logida, kasutades salvestatud parooliga eTokenit.
Registreerimine Windowsis
Saate Windowsi sisse logida eTokeniga või sisestades Windowsi kasutajanime ja parooli.
Windowsiga registreerumiseks eTokeni abil tehke järgmist.
- Taaskäivitage arvuti;
- Ilmub Windowsi tervitussõnum;
- Kui eToken on juba ühendatud, klõpsake hüperlingil Login Using eToken. Kui eToken pole ühendatud, ühendage see USB-porti või -kaabliga. Kumbki sisselogimisviis kuvab akna "Logi Windowsi sisse";
- Valige kasutaja ja sisestage eTokeni PIN-kood;
- Klõpsake nuppu "OK". Olete avanud kasutajaseansi, kasutades eTokeni mällu salvestatud mandaate.
- Kui kasutate kiipkaardi kasutaja sertifikaadiga eTokenit, peate arvutiga ühenduse loomiseks sisestama ainult eTokeni PIN-koodi.
Registreerimine sisseAknad ilmaeToken:
- taaskäivitage arvuti, vajutage klahvikombinatsiooni CTRL + ALT + DEL, ilmub aken "Logi sisse Windowsi / Logi sisse Windowsi";
- klõpsake nuppu "OK" - olete oma kasutajanime ja parooliga sisse logitud.
parooli muutmine
Pärast eTokeniga sisselogimist saate oma Windowsi parooli muuta.
Parooli muutmiseks pärast eTokeniga sisselogimist:
- logige sisse eTokeniga;
- klõpsake " CTRL+ALT+DEL", ilmub aken" OhutusWindows/ Windowsturvalisus";
- Klõpsake nuppu " parooli muutmine/ muutaParool", kui praegune parool loodi käsitsi, ilmub aken" parooli muutmine/ muutaParool", aga kui praegune parool genereeriti juhuslikult, minge 5. sammu juurde;
- Sisestage väljadele uus parool " uus salasõna/ UusParool"ja" Kinnitamine/ KinnitaUusParool"ja vajutage nuppu" Okei";
- Kui praegune parool genereeriti juhuslikult, genereeritakse uus parool automaatselt;
- Sisestage ilmuvas dialoogiboksis eTokeni PIN-kood ja klõpsake nuppu " Okei"
- kuvatakse kinnitusteate kast.
Kasutaja seansi kaitse
Saate oma tööseansi turvamiseks kasutada eTokenit.
Tööjaama lukustamine
Saate oma arvutit turvaliselt hoida ilma välja logimata, lukustades arvuti. Kui eToken on USB-pordist või kaablist lahti ühendatud (pärast edukat registreerimist), lukustab operatsioonisüsteem teie arvuti automaatselt.
Arvuti lukust avamiseks toimige järgmiselt.
Kui teie arvuti on lukus, kuvatakse " Arvuti lukk arvutiLukustatud". Ühendage eToken USB-pordi või kaabliga. Ilmuvas aknas sisestage PIN-kood eTokenParool"ja vajutage nuppu" Okei"Arvuti on lukustamata.
Märge: kui vajutate " CTRL+ALT+DEL"ja parooli sisestamisel avatakse arvuti ilma eTokenit kasutamata.
Käsitsi eemaldamine
Harvadel juhtudel, kui peate eToken SecurLogon käsitsi eemaldama, toimige järgmiselt.
- taaskäivitage arvuti ja käivitage see turvarežiimis;
- registreeruda administraatoriõigustega kasutajaks;
- registriredaktori abil avage jaotis HKEY_LOCAL_MAFROMHINE\TARKVARA\Microsoft\WindowsNT\Praeguneversioon\Winlogon ja eemaldage " GinaDLL";
- Taaskäivitage arvuti, järgmine kord Windowsi sisse logides kuvatakse Microsoft Windowsi sisselogimise aken.
Üldine tõrkeotsing
Levinud probleemide tõrkeotsinguks peate võib-olla tegema järgmisi samme.
Probleem | Lahendus |
Ühendasite eTokeni registreerimisprotsessi ajal (kui " OperatsioonisüsteemWindows/ Tere tulemastjuurdeWindows") või kui arvuti on lukus (" Arvuti lukk/ arvutiLukustatud"). eToken SecurLogoni akent ei kuvata. | 1. Ühendage arvuti küljest lahti kõik ühendatud kiipkaardid (mitte ainult eToken) ja ühendage eToken uuesti. |
Ühendasite eTokeni kohe pärast arvuti une- või ooterežiimist äratamist. eToken SecurLogoni akent ei kuvata . | 1. Oodake, kuni märgutuli süttib. Aken " Avage arvuti/ Avage lukustusarvuti". |
Katkestasite eTokeni ühenduse pärast arvuti talveune- või ooterežiimist äratamist ja arvuti ei lukustu kohe. | Oodake mitte rohkem kui 30 sekundit, kuni arvuti lukustub. |
Operatsioonisüsteemis Windows 2000 võtab väljalogimine või arvuti väljalülitamine kaua aega. | Installige uusim hoolduspakett. |
Ühendasite kiipkaardilugeja või eTokeni pärast arvuti sisselülitamist ja seadet ei tuvastata. | Pärast lugeja ühendamist taaskäivitage arvuti. |
Võtmete salvestamine riistvaravõtmetele (Kaztoken, eToken) suurendab organisatsiooni EDS-i salvestamise ja kasutamise turvalisust:
- Salvestatud digitaalallkirju on nendest seadmetest keerulisem kopeerida kui arvutist
- Token'i kadumise korral on EDS-i kasutamine kaitstud parooliga
eToken-seadmete kasutamiseks peavad organisatsioonil olema kehtivad EDS-võtmed.
Artiklis:
EDS-võtmete installimine eToken-seadmesse (videotund)
EDS-i installimisel eTokeni kandjatele on mõned nüansid (kontrollitud 2015. aasta septembri seisuga).
eToken seadet esmakordsel kasutamisel nõuab see enne sellele võtmete kirjutamist vaikimisi parooli (1234567890) kohustuslikku muutmist keerulisemaks, alles pärast seda on võimalik seadmesse kirjutada EDS võtmed. Seega, kui sisestate lihtsalt arvutisse uue eToken-seadme ja proovite installida sertifikaate NCA veebisaidi kaudu, kuvatakse pärast installimise lõpetamist sertifikaadi installimise tõrketeade.
Seetõttu peate juhtprogrammi eToken-seadmesse alla laadima, seade uuesti lähtestama, tühjendades ruudu Nõua enne kasutamist parooli muutmist.
Ja kuna NCA veebisait saab tokenile võtmeid kirjutada ainult siis, kui eTokeni parool on 1234567890 (teiste paroolide puhul saame pärast installimist jällegi klahvide kirjutamisel veateate), määrasime juhtimisprogrammis jõuga parooli 1234567890. varem märkimata keeruline paroolinõue.
Pärast sooritatud toiminguid saate edukalt EDS-võtmed eToken kandjasse kirjutada.
eTokeni kandja puhastamine (videoõpetus)
Vea parandamine Leiti rohkem kui üks RSA-võti
Kui te enne uute võtmete installimist eTokeni kandjat ei puhasta, õnnestub installimine NCA veebisaidi kaudu edukalt, kuid kui proovite siseneda IS Treasury kliendiportaali, näete järgmist tõrget: Leiti rohkem kui üks RSA võti:
Selle probleemi lahenduseks on utiliidi InfoToken() allalaadimine ja selle kasutamine seadme vormindamiseks. Pärast seda peate võtmed märgile ümber kirjutama.
Meie lugeja näpunäide: võite proovida eemaldada lisavõtmed TumarCSP abil.
Autorilt:
Kui probleem on lahendatud, näidatakse ühte võimalust öelda autorile "aitäh" -.
Kui probleemi ei õnnestunud lahendada või tekkis lisaküsimusi, võite neid küsida meie grupis.
Või kasutage meie teenust "", usaldades probleemi lahendamise spetsialistile.
Venemaal muutuvad üha populaarsemaks märgid, elektroonilised võtmed olulisele teabele juurdepääsuks. Token pole nüüd mitte ainult vahend arvuti operatsioonisüsteemis autentimiseks, vaid ka mugav seade isikliku teabe salvestamiseks ja esitamiseks: krüpteerimisvõtmed, sertifikaadid, litsentsid, sertifikaadid. Tokenid on tavalisest “sisselogimise/parooli” paarist usaldusväärsemad tänu kahefaktorilisele identifitseerimismehhanismile: see tähendab, et kasutajal ei pea olema mitte ainult infokandja (token ise) kättesaadav, vaid peab teadma ka PIN-koodi.
Tokenite väljastamisel on kolm peamist vormitegurit: USB-märk, kiipkaart ja võtmehoidja. PIN-koodi turvalisust leidub kõige sagedamini USB-märkides, kuigi hiljutised USB-märgid on varustatud RFID-märgendi võimalusega ja LCD-ekraaniga ühekordsete paroolide genereerimiseks.
Räägime lähemalt PIN-koodiga žetoonide toimimise põhimõtetest. PIN-kood on spetsiaalselt seadistatud parool, mis jagab autentimisprotseduuri kaheks etapiks: märgi kinnitamine arvutile ja tegeliku PIN-koodi sisestamine.
Kõige populaarsemad märgimudelid kaasaegsel Venemaa elektroonikaturul on Rutoken, eToken ettevõttelt Aladdin ja elektrooniline võti ettevõttelt Aktiv. Vaatleme nende tootjate žetoonide näitel kõige korduma kippuvaid küsimusi žetoonide PIN-koodide kohta.
1. Mis on vaike-PIN?
Allolev tabel sisaldab teavet Rutokeni ja eTokeni märkide vaike-PIN-koodide kohta. Vaikimisi parool on erinevatel omanikutasemetel erinev.
Omanik | Kasutaja | Administraator |
Rutoken | 12345678 | 87654321 |
eToken |
1234567890 | Vaikimisi pole administraatori parooli määratud. Juhtpaneeli kaudu saab seadistada ainult eToken PRO, eToken NG-FLASH, eToken NG-OTP mudelite jaoks. |
JaCarta PKI | 11111111 | 00000000 |
JaCarta GOST | Pole määratud | 1234567890 |
JaCarta PKI/GOST |
PKI funktsioonide jaoks: 11111111
Kui kasutate JaCarta PKI-d koos valikuga "Tagasi ühilduv" - PIN - 1234567890 GOST-i funktsionaalsuse jaoks: PIN-koodi pole määratud |
PKI funktsioonide jaoks: 00000000
Kui kasutate JaCarta PKI-d koos valikuga "Tagasi ühilduv" - PIN-koodi pole määratud GOST-i funktsionaalsuse jaoks: 1234567890 |
JaCarta PKI/GOST/SE |
PKI funktsioonide jaoks: 11111111
GOST-i funktsionaalsuse jaoks: 0987654321 |
PKI funktsioonide jaoks: 00000000
GOST-i funktsionaalsuse jaoks: 1234567890 |
JaCarta PKI/BIO | 11111111 | 00000000 |
JaCarta PKI/Flash | 11111111 | 00000000 |
ESMART Token | 12345678 | 12345678 |
IDPrime kaart | 0000 | 48 nulli |
JaCarta PRO/JaCarta LT | 1234567890 | 1234567890 |
2. Kas ma peaksin muutma vaike-PIN-koodi? Kui jah, siis millisel hetkel märgiga töötades?
3. Mida teha, kui märgil olevad PIN-koodid on tundmatud ja vaike-PIN on juba lähtestatud?
Ainus väljapääs on märgi täielik tühjendamine (vormindamine).
4. Mida teha, kui kasutaja PIN-kood on blokeeritud?
Kasutaja PIN-koodi saate avada märgi juhtpaneeli kaudu. Selle toimingu tegemiseks peate teadma administraatori PIN-koodi.
5. Mida peaksin tegema, kui administraatori PIN-kood on blokeeritud?
Administraatori PIN-koodi ei saa avada. Ainus väljapääs on märgi täielik tühjendamine (vormindamine).
6. Milliseid turvameetmeid on tootjad kasutusele võtnud, et vähendada parooli äraarvamise ohtu?
Aladdini ja Active ettevõtete USB-tokenide PIN-koodide turvapoliitika põhipunktid on toodud allolevas tabelis. Pärast tabeli andmete analüüsi võime järeldada, et eToken saab eeldatavasti turvalisema PIN-koodi. Rutoken, kuigi see võimaldab määrata vaid ühe tähemärgiga parooli, mis pole turvaline, ei jää see muus osas alla Aladdini tootele.
Parameeter | eToken | Rutoken |
PIN-koodi minimaalne pikkus | 4 | 1 |
PIN-koodi koostis |
Tähed, numbrid, erimärgid | Ladina tähestiku numbrid, tähed |
Suurem kui 7 või sellega võrdne | Kuni 16 | |
PIN-koodi turvahaldus |
Seal on | Seal on |
Seal on | Seal on |
PIN-koodi saladuses hoidmise olulisust teavad kõik need, kes kasutavad žetoone isiklikuks otstarbeks, hoiavad sellel oma elektroonilist allkirja, usaldavad elektroonilisele võtmele mitte ainult isikliku iseloomuga informatsiooni, vaid ka oma äriprojektide üksikasju. Ettevõtete Aladdin ja Active žetoonidel on eelinstallitud kaitseomadused ja koos teatud ettevaatusabinõudega, mida kasutaja rakendab, vähendatakse parooli äraarvamise riski miinimumini.
Rutokeni ja eTokeni tarkvaratooteid esitletakse erinevates konfiguratsioonides ja vormitegurites. Pakutav valik võimaldab teil valida täpselt teie nõuetele kõige paremini vastava märgi mudeli