Рутокен — это вид ключевого носителя (токена). Он хранит электронную подпись и цифровой сертификат. В отличие от флешки, на токенах данные защищены паролем и дополнительными средствами безопасности. Рутокены имеют сертификацию ФСТЭК/ФСБ, что соответствует требованиям 63-ФЗ.
Что вы узнаете
Популярные варианты
Рутокен Lite
Это базовый и самый бюджетный вариант.
В нем нет встроенного средства криптозащиты, поэтому для использования ЭЦП нужно установить ПО на компьютер. Информация на токене защищена ПИН-кодом владельца — без него получить доступ к ЭЦП нельзя.
Если владелец 10 раз неправильно введет ПИН, устройство заблокируется. Чтобы его разблокировать, нужно скачать драйверы Рутокена и ввести ПИН под учетной записью «Администратор» (стандартно — 87654321). Либо обратиться в удостоверяющий центр.
Рутокен не подходит для работы с алкоголем в ЕГАИС.
Рутокен Lite micrо
Отличие от предыдущего варианта — в размере устройства. Подойдет для пользователей, которые работают на ноутбуках.
СКЗИ приобретается отдельно (для работы в СБИС СКЗИ не требуется).
Не подходит для работы с алкоголем в ЕГАИС.
Рутокен ЭЦП 2.0
Модель содержит встроенное СКЗИ: для использования подписи не нужно устанавливать дополнительные программы.
Токен защищен двухфакторной аутентификацией — для его использования нужен ПИН-код.
Единственная модель Рутокена, которая подходит для работы с ЕГАИС.
Рутокен ЭЦП 2.0 Type-c
Тот же вариант, но с другим разъемом: подходит для ноутбуков с портом USB Type-C или Thunderbolt 3 (кроме Apple iPad Pro 2018 года).
Подходит для работы с алкоголем в ЕГАИС.
Сравнение моделей
Для наглядности мы подготовили таблицу.
Модель
Встроенный СКЗИ
Работа с ЕГАИС
Двухфакторная защита
Сертификаты
Рутокен Lite
Как настроить
Для работы с носителями без встроенного СКЗИ нужно устанавливать ПО на компьютер. Самая распространенная программа — это КриптоПро CSP. Установить программу и драйверы можно самостоятельно либо обратиться в удостоверяющий центр.
Мы предлагаем упрощенное решение — запустить мастер настройки рабочего места. Он установит не только драйвер, но и другое ПО, которое требуется для работы с электронной подписью. С мастером не нужно устанавливать драйверы вручную.
Мастер проверит, есть ли на вашем компьютере приложения для работы с ЭП. Выполняя рекомендации, установите или обновите ПО — напротив всех пунктов должна появиться зеленая галочка.
Выберите вашу электронную подпись.
Когда все работы будут завершены, появится кнопка «Начать работу». Нажмите ее, чтобы перейти в личный кабинет и отправить первый отчет или утвердить отгрузочные документы на приобретенную ЭП.
Ваш компьютер будет готов к работе с ЭП.
В состав драйверов Рутокен входит специальное приложение — «Панель управления Рутокен». В ней можно:
Сегодня для использования разнообразных информационных систем необходима квалифицированная электронная подпись. Она открывает новые двери в мир автоматизации и позволяет в значительной мере оптимизировать процессы, которые раньше отнимали немало времени и ресурсов. Кроме взаимодействия с государственными ЕИС электронная подпись понадобится любому хозяйствующему субъекту ввиду требования сдачи отчетности исключительно в цифровом виде через телекоммуникационные каналы связи.
Для хранения ЭЦП требуются рутокены – специальные электронные идентификаторы, которые, помимо прочего, также позволяют безопасно проводить двухфакторную аутентификацию. На нашем сайте в разделе «Центр ЭЦП» вы можете купить рутокен ЭЦП, который необходим вашему бизнесу. Но сначала вам потребуется изучить Каталог электронных подписей, чтобы выбрать, какая именно подпись подходит для решения ваших задач, и только потом вы сможете подобрать оптимальный рутокен.
О том, что из себя представляют эти приборы, каковы принципы их работы, для чего они используются и как помогают бизнесу мы поговорим далее в настоящей статье.
Что из себя представляет рутокен?
В первую очередь, предлагаем вам разобраться в терминологии: рутокен – это специальное устройство, которое внешне напоминает флешку, но имеет совсем иную функциональность. Основная цель использования таких устройств – это обеспечение сохранности электронной квалифицированной подписи, которая хранится на устройстве.
Одной из наиболее значимых и первостепенных характеристик является объем памяти. Сегодня в продаже можно найти модели со встроенными 32, 64 и 128 килобайтами абсолютно защищенного пространства. У каждого размера своя вместимость. К примеру, 32 Кб достаточно, чтобы хранить около 5-7 ЭЦП. Следовательно, если у вас не больше семи подписей, то данного объема памяти вам будет вполне достаточно. Соответственно, на моделях с 64 Кб этот параметр в два раза больше и т.д. Оцените, сколько «места» необходимо вам, чтобы обеспечить безопасное хранение всех ЭЦП? Тут также важно подумать, как вам удобнее это делать. Некоторые загружают все подписи на один носитель, а другие – на разные, чтобы обеспечить удобство их использования.
Почему рутокен для ЭЦП абсолютно безопасен?
Дело в том, что все данные, которые вы загрузите на носитель, будут надежно защищены благодаря шифрованию. Другими словами, все данные зашифровываются и помещаются в защищенную память. Более того, в случае потери носителя никто не сможет воспользоваться им, потому что доступ к нему осуществляется по пин-коду. При неправильном вводе пин-кода несколько раз устройство блокируется, лишая мошенников возможности получить доступ к вашим конфиденциальным данным.
Более продвинутые модели также имеют встроенную метку RFID, благодаря чему их используют также в качестве одного из элементов систем контроля доступа. Особенно этот функционал важен для режимных объектов, где важно предотвратить попадание неавторизованных лиц в секретные помещения. Некоторые также используют рутокены с RFID для обеспечения авторизации при входе в операционную систему (например, Windows). Если вам необходима модель, оснащенная функционалом RFID, тогда ищите устройства, название которых содержит буквы RF.
Принципы работы рутокена ЭЦП
Как уже говорилось выше, основная задача использования рутокена – это обеспечение двухфакторной аутентификации там, где она востребована. Прежде всего, это относится к современным компьютерным системам. Аутентификацию называют именно двухфакторной, потому что, чтобы получить доступ к содержимому носителя, необходимо одновременно выполнить два различных условия:
Как показывает практика, именно двухфакторная авторизация значительно увеличивает защищенность объектов и данных там, где одного только пароля недостаточно.
В основе рутокенов лежат специальные микроконтроллеры и защищенная память для хранения конфиденциальных данных. Поддержка основных российских и международных стандартов в области ИБ – еще одна особенность устройств, благодаря чему они легко интегрируются и встраиваются в разнообразные ИТ-системы.
Разнообразие рутокенов
Прежде всего, стоит отметить, что рутокены необходимо различать по назначению. Существуют рутокены, которые используются исключительно для авторизации, но есть модели (например, рутокен Web), используемые только для посещения защищенных сайтов в сети Интернет. О памяти мы говорили выше, также как и о дополнительном опционале (RFID). Также в продаже можно найти модели с Bluetooth и flash.
Для установки требуется предварительная установка драйверов, которые можно скачать на сайте производителя устройств. Просто выберите тип операционной системы, скачайте и запустите установщик. В этой задачей вы сможете справиться самостоятельно.
Мы предлагаем защищенный сертифицированный носитель Рутокен ЭЦП 64 КБ (сертификат ФСТЭК) – оптимальная модель для электронных подписей любого назначения.
Если у вас остались вопросы, которые касаются покупки рутокена, вы можете задать их нашим специалистам, и мы оперативно ответим вам!
Дома и на работе при использовании почтовых программ и доступе к корпоративным ресурсам нам приходится пользоваться паролями. Чаще всего пароли для разных программ и ресурсов различаются, и необходимо запоминать множество непростых символьных сочетаний либо записывать их на бумаге, что явно не рекомендуется службами безопасности вашей компании. В меньшей степени это относится к использованию компьютера дома, но и здесь бывает необходимо защитить определенные ресурсы и программы от доступа.
Вместо использования доступа по паролю к корпоративным ресурсам, для входа в домен и при использовании корпоративной почты можно использовать аппаратную аутентификацию и защиту электронной переписки в сетях, построенных на базе Windows 2000/ХР/2003. В предлагаемом решении используются встроенные инструменты безопасности Windows и электронные идентификаторы Rutoken в качестве носителей ключевой информации.
Что обеспечивается при использовании этого продукта? Авторизация пользователей (вход в домен при подключении токена и блокирование сессии после его отсоединения). При работе с почтой — электронная цифровая подпись почтовых сообщений и их шифрование. Доступ к корпоративным ресурсам по предъявлении токена и, конечно, надежное хранение и использование сертификатов. Часть из перечисленных задач может быть использована и на домашнем компьютере, например, при работе с почтой, а также для удаленного подключения к корпоративным ресурсам. Давайте разберем, что и как необходимо выполнить для реализации перечисленных задач.
Токен как дополнительное устройство не может быть опознан операционной системой, поскольку он не является стандартным оборудованием. Невозможна и установка токена посредством inf-файла, поскольку для корректной установки требуется измерение некоторых параметров для автоматической конфигурации драйвера. Поэтому приходится для установки использовать специальное программное обеспечение. И вот что еще следует помнить. Не подключайте токен к компьютеру до того, как вы установите драйвер. Если все же подключение будет выполнено ранее, остановите работу стандартного мастера установки USB-устройств, извлеките ключ из порта и установите драйвер. Помимо драйверов в процессе инсталляции на диск будут скопированы и утилиты для работы с токеном (утилита администрирования и браузер сертификатов). Количество одновременно используемых токенов зависит от операционной системы и количества USB-портов.
Электронный идентификатор Rutoken — персональное средство аутентификации и хранения данных (сертификатов в данном случае). В нем имеется аппаратная реализация российского стандарта шифрования. Этот токен также совместим и с сертифицированными российскими криптопровайдерами от компаний «Крипто-Про», «Анкад», «Сигнал-Ком».
Прежде чем приступить к настройке корпоративной сети и ее ресурсов для работы с токенами и цифровыми сертификатами, предлагаю провести небольшое тестирование этого продукта, для чего получить электронный сертификат и подключить его для работы с почтой, например с почтовым клиентом The Bat!.
Опять же, чтобы не развертывать в своей сети службы сертификации (их можно развернуть только на серверных платформах), можно воспользоваться услугами тестовых удостоверяющих центров, например тестовым центром сертификации «Крипто-Про» либо тестовым центром сертификации e-Notary компании «Сигнал-Ком». Если вы выбрали последний, вам будет предложено вначале познакомиться с «Соглашением на изготовление тестовых сертификатов удостоверяющим центром e-Notary». В случае согласия будет предложено выбрать вариант подачи запроса на изготовление сертификата: либо путем передачи файла с сформированным предварительно запросом, либо путем генерации ключей и формирования запроса встроенными средствами браузера. Для простоты выберем второй вариант.
Подключите к USB-порту ваш токен. Обратите внимание, что все токены изначально имеют одинаковый PIN-код пользователя — 12345678. Пока вы занимаетесь тестированием, этот код можно не менять, но при организации нормальной работы лучше, если вы его замените, чтобы никто иной не мог получить доступ к вашему закрытому ключу. (Именно закрытый ключ используется для формирования подписи и расшифровывания данных.) Для изменения кода воспользуйтесь программой администрирования. С ее же помощью вашему токену можно присвоить и уникальное имя.
Выбрав вариант формирования запроса через браузер, вы попадете на страницу, где вам потребуется заполнить о себе некоторые данные (для тестовых целей они не критичны, и обязательными являются лишь два поля — имя и почтовый адрес). Далее — выбор параметров ключевой пары. Здесь вы должны выбрать из выпадающего списка криптопровайдер Aktiv Rutoken CSP v1.0 (можно взять и любой иной, но мы же тестируем токен). Затем выбрать вариант использования ключей — для обмена данными, для их подписи или для обоих вариантов (выбирайте последний). Далее — выбор размера ключа. Выбранный на предыдущем шаге криптопровайдер позволяет формировать ключи длиной от 512 до 16 384 байт. (Чем больше значение длины ключа, тем меньше вероятность взлома зашифрованных данных.)
Из остальных опций рекомендую выбрать «Пометить ключ как экспортируемый». В этом случае после его установки вы сможете создать резервную копию пары ключей и сертификата и сохранить их в виде файла. Зачем? На случай утраты токена или его повреждения. Остальные опции можно не изменять и далее запустить процесс формирования запроса. После того как запрос будет обработан, вы сможете установить сертификат на компьютер. Обратите внимание на следующий момент. Давайте откроем браузер сертификатов (мы уже говорили, что он устанавливается вместе с драйверами). После того как вы сформируете запрос, на токене появится новый контейнер с парой ключей. В параметрах ключа будет указана его длина, область применения и значение открытого (публичного) ключа. После установки сертификата информация изменится. В контейнере будет уже не только ключ, но и сертификат со всем своими характеристиками: имя владельца, его почтовый адрес, иная информация, указанная вами при формировании запроса. Кроме того что сертификат будет помещен на токен, он также будет установлен в личное хранилище сертификатов, где его можно будет просмотреть через свойства браузера.
Теперь у нас есть ключи и сертификат, с помощью которых можно подписывать и шифровать корреспонденцию. Посмотрим, как это можно сделать в почтовом клиенте The Bat! (про использование подписи и шифрования в MS Outlook подробно рассказано в документации на рассматриваемый продукт).
Откройте свойства вашего почтового ящика и на вкладке «Общие сведения» кликните по кнопке «Сертификаты». Откроется стандартное окно для просмотра сертификатов. Убедитесь, что полученный вами сертификат в тестовом УЦ доступен. Перейдите на вкладку «Параметры». Здесь можно отключить опцию «Авто — OpenPGP», оставив лишь «Авто — S/Mime». Кроме того, отметьте опции, которые вы хотите использовать: «Подписать перед отправкой» и «Зашифровать перед отправкой». Вторую опцию лучше не выбирать до тех пор, пока вы не обменяетесь открытыми ключами с теми, с кем будете вести переписку с шифрованием.
Итак, если вы будете подписывать свое письмо, то после того, как вы нажмете кнопку «Сохранить» или «Отправить», будет вызван диалог выбора сертификата, на котором вы будете выполнять подпись. Обратите внимание, что сертификат привязан к почтовому адресу. Поэтому, если почтовый адрес, с которого вы пишете и отправляете письмо, отличается от того, что включен в сертификат, почтовый клиент не сможет подписать письмо. Если адреса совпадают, письмо будет подписано и отправится вашему респонденту вместе с сертификатом и открытым ключом. С их помощью ваш респондент сможет проверить подлинность подписи (не изменилось ли письмо во время доставки) и убедиться, что именно вы подписали это письмо. Для того чтобы использовать этот сертификат и ключ для шифрования писем в ваш адрес, ваш респондент должен будет импортировать полученный сертификат в хранилище. Аналогичным образом он пришлет вам свой сертификат, после чего вы сможете не только подписывать письма, но и шифровать их в адрес друг друга.
На этом проверку работы с токеном можно считать завершенной и переходить к настройке сети вашей организации и корпоративных приложений. Первое, с чего следует начать, — установка службы сертификации Microsoft. С ее помощью вы будете выписывать сертификаты сотрудникам, сохранять их на токенах и выдавать в работу. Для удобства можно будет создать шаблоны сертификатов и использовать их.
Для использования цифровой подписи и шифрования почтовых сообщений необходимо будет выполнить настройку почтовых клиентов. Для обеспечения доступа пользователей в домен по своим сертификатам потребуется выдавать сертификаты типа «Пользователь со смарт-картой» или «Вход со смарт-картой». Далее необходимо настроить учетные записи пользователей домена, установив в параметрах учетной записи флаг «Для интерактивного входа в сеть нужна смарт-карта».
Дополнительные настройки требуются и для создания защищенного подключения к веб-ресурсам организации (в документации приводится пример настройки веб-ресурса под управлением IIS), можно настроить доступ по сертификатам к терминальному серверу, к сетям VPN. Степень защиты доступа в таких случаях существенно возрастает.
В основном все настройки выполняются администратором сети, настройка рабочих мест требует существенно меньших усилий. Поэтому внедрение системы аппаратной аутентификации, цифровой подписи и шифрования не будет представлять особых сложностей для сотрудников. К тому же невелика и величина расходов по созданию такой системы. Для начала работы вполне достаточно одного стартового комплекта, включающего руководство по внедрению, утилиты для работы с токенами, драйвера и собственно один электронный идентификатор Rutoken. Стартового комплекта достаточно, для того чтобы произвести все необходимые настройки в сети и подготовиться к переходу от обычной парольной защиты к надежной двухфакторной аутентификации на основе Rutoken. Для такой миграции потребуется лишь приобрести необходимое количество идентификаторов Rutoken.
Рутокен — компания, которая выпускает программные и аппаратные решения для защиты информации в России.
А теперь давайте простыми словами. Думаю все станет понятно сразу. Напишу все очень образно, но суть вам надеюсь будет ясна.
Для входа на банковский сайт — нам нужен логин и пароль. Также можно например создать архив данных и поставить его под пароль. Можно еще иметь секретный компьютер, доступ к которому тоже по паролю. В общем можно многое что, но доступ ко всему — по паролю. Но с паролем проблема — сложный пароль сложно запомнить. Записывать его куда-то — это уже снижает безопасность. Какой выход? А что если пароль будет на флешке, и чтобы его ввести — достаточно будет флешку подключить к ПК и все? Именно такой флешкой и является Рутокен ЭЦП:
Удобно носить с собой, кстати ударопрочное устройство, а внешне похоже на флешку. Вот только минус думаю один — нужно и правда маскировать под флешку. Потому что если написано Рутокен — то думаю может привлекать нежелательное внимание (как мне кажется).
Данное устройство — не флешка. Хотя похоже. Внутри есть память, на которой хранятся ключи, при помощи которых можно получить доступ к важным данным. Эти ключи разумеется подобрать невозможно, никак, потому что они очень сложные. И это устройство Рутокен ЭЦП — достаточно просто с собой носить и не беспокоиться о том, забудете ли вы пароль или нет.
Да, конечно чтобы все это работало — на ПК должен быть специальный софт, нужно сделать еще эти ключи, это все понятно. Но суть состоит именно в том, что на маленьком устройстве, которое напоминает флешку — ваш сложный пароль, ваши ключи, при помощи которых вы можете получить доступ к данным. А без этих ключей — доступ получить невозможно, просто никак, никакой взлом не поможет.
Надеюсь кому-то информация оказалась полезной. Удачи и добра, до новых встреч друзья!
В основе линейки продуктов Рутокен лежат программно-аппаратные решения. Многообразие сфер применения и различных способов использования продукции Рутокен имеет в основе совокупность технологий, обеспечивающих как возможность работы самих устройств, так и их коммуникации с внешним миром.
Эти технологии представляют собой реализации стандартизованных процессов, характерных для информационных систем, использующих элементы информационной безопасности и защиты информации, в том числе и криптографической. К базовым технологиям относятся реализация криптографических алгоритмов и протоколов, операционная и файловая система Рутокен, а также способы взаимодействия с приложениями и пользователями.
Сердцем и мозгом основных продуктов линейки Рутокен служат 32-разрядные высокопроизводительные микропроцессоры архитектуры ARM. Благодаря значительной вычислительной мощности процессора ресурсоемкие вычисления, такие как генерация ключевых пар, вычисление и проверка электронной подписи выполняются достаточно быстро, несмотря на отсутствие специальных ускорителей криптографических операций.
На скорость вычислений также оказывает влияние тот факт, что вся микропрограмма устройств Рутокен реализована на компилируемом языке, который в отличие от, например, Java дает гораздо больше возможностей по оптимизации. В аппаратных решениях Рутокен используются современные защищенные микроконтроллеры с большим объемом энергонезависимой памяти для хранения пользовательских данных.
Работоспособность смарт-карт и токенов, как их разновидности, обеспечивается специальной операционной системой. В мире существует относительно небольшое количество таких систем: как правило, своя операционная система имеется у производителей чипов смарт-карт, крупных производителей которых насчитывается около десятка. Системы можно разделить на две группы: ОС с фиксированной файловой системой и ОС с динамической загрузкой приложений. ОС Рутокен по такой классификации относится к ОС с фиксированной файловой системой, поскольку загрузка приложений в нее не предусмотрена.
Карточная операционная система имеет мало общего с операционной системой в обычном понимании, поскольку, например, не имеет средств для интерактивного взаимодействия с пользователем. Взаимодействие со смарт-картами и токенами возможно через специальную систему команд. Команды формируются пользовательскими приложениями или терминалами. В ответ на команды токен производит различные операции и формирует ответы.
Команды и ответы составляют протокол, который называется APDU (Application Protocol Data Unit). Стандарт APDU определен в ISO/IEC 7816-4. Протоколы карт различных производителей как правило составляют определенное подмножество этого стандарта.
Как и любая другая, файловая система Рутокен является частью ОС, предназначенной для хранения данных и обеспечения доступа к ним, а также разграничения прав. Файловая система регламентируется тем же стандартом ISO/IEC 7816-4.
Особенность файловой системы токена состоит в том, что различные виды данных хранятся в различных типах объектов, содержащих кроме всего прочего атрибуты безопасности. Окружение безопасности (Security Environment) используется для удобной настройки параметров криптографических операций.
Для хранения ключевой информации: ключей шифрования, сертификатов и т. п. используются файлы Rutoken Special File (RSF-файлы). Разные виды ключевой информации хранятся в предопределенных папках с автоматическим выбором нужной папки при создании и использовании RSF-файлов.
Современные модели аппаратных устройств Рутокен кроме хранения данных и ключевой информации способны выполнять ряд криптографических алгоритмов, в число которых входят:
Рутокен ЭЦП позволяет осуществлять механизм электронной подписи так, чтобы закрытый ключ подписи никогда не покидал пределы токена. Таким образом, исключается возможность компрометации ключа и увеличивается общая безопасность информационной системы.
Одно из основных применений USB-токенов и смарт-карт — строгая двухфакторная аутентификация, в процессе которой используются аутентификационные факторы нескольких типов. В случае с USB-токенами Рутокен или TrustScreen-устройствами Рутокен PINPad первым фактором аутентификации выступает сам токен или устройство, а вторым фактором PIN-код, который необходим для доступа к ним.
Определяющим фактором успешной интеграции решений Рутокен в приложения можно назвать программное обеспечение промежуточного уровня, также называемое middleware. В большинстве случаев конечный пользователь не сталкивается с ним непосредственно, но без него невозможна работа устройств Рутокен со всевозможными приложениями, оперирующими со смарт-картами и токенами через широко используемые интерфейсы.
В нашем случае к middleware можно отнести:
Поддержка различных стандартов middleware позволят производителям систем информационной безопасности и интеграторам легко встраивать технологии Рутокен в свои решения.
USB на сегодняшний день является основным способом подключения всевозможных устройств к компьютерам. Надежность, простота использования, высокая скорость, универсальность и возможность «горячего» переподключения устройств определяют широчайшую распространенность этого интерфейса: от серверов до мобильных устройств.
Поддержка USB присутствует практически в любой современной операционной системе. Поэтому вполне естественно, что устройства Рутокен используют именно этот интерфейс в различных его вариантах.
Доверенная визуализация документа призвана повысить безопасность он-лайн операций в дистанционном банковском обслуживании (ДБО) и других ответственных приложениях. Ее задача состоит в защите от подмены злоумышленником подписываемого документа или его хэша в процессе подписи, а также от выполнения несанкционированных операций в случае успешного перехвата PIN-кода.
Технология делает возможным визуальный контроль подписываемых данных, которые отображаются на экране устройства непосредственно перед подписью. Все значимые операции над отправленными на подпись данными производятся «на борту» устройства:
Доверенная визуализация документа реализована в продукте Рутокен PINPad.
На первый взгляд, PIN-код и пароль очень похожи, но это не так. Пароль обязательно должен быть сложным, только тогда он защитит вас от злоумышленников. PIN-коду не обязательно быть сложным. Почему так, давайте разберемся.
Как подбирают пароли
Стойкость пароля — это способность противостоять угадыванию с помощью специальных программ. Эти программы систематически перебирают все возможные комбинации символов до тех пор, пока не будет найдена правильная.
Такой перебор может занять очень много времени, поэтому злоумышленники сначала запускают подбор по парольным базам. Однако такой метод сработает только в том случае, когда кто-то использовал обычное слово или часто используемые сочетания в качестве пароля. Поэтому задача «сильного» пароля — настолько усложнить взломщику жизнь, чтобы он потерял интерес к цели и переключился на другую, более доступную мишень.
Стойкость пароля определяется его длиной, непредсказуемостью и уникальностью.
Почему PIN-код лучше пароля
Преимущества PIN-кода в сравнении с паролем связаны не только с его длиной или сложностью, но и с принципом работы.
PIN-код, в отличие от пароля, не обязан быть длинным и случайным. Он привязан к смарт-карте или токену, а это значит, чтобы воспользоваться PIN-кодом, злоумышленнику придется физически получить устройство в распоряжение.
Недостатки в длине или случайности PIN-кода компенсируются требованием физического владения устройством и ограничениями на перебор PIN-кода. После определенного количества неудачных попыток ввода PIN-кода Рутокен блокируется до момента его разблокировки Администратором. Таким образом операционная система Рутокен защищает от множества известных и потенциальных атак, в том числе от атак методом подбора PIN-кода.
Мы рекомендуем для защиты информации низкой и средней степени секретности использовать PIN-коды, состоящие не менее чем из 6 цифр.
Математически высчитать вероятность угадывания довольно просто.
К примеру, если PIN-код состоит из 6 цифр, то n = 6, m = 10 (каждая цифра имеет значение от 0 до 9). Тогда число возможных комбинаций m n = 106 = 1 000 000. Если количество неудачных попыток ввода PIN-кода, i = 10, то вероятность его угадывания составляет 0,0001%.
Если исключить самые очевидные комбинации (11111, 123456, 123123, дату рождения, телефонный номер), то вероятность угадать PIN-код, состоящий из 6 цифр, со стандартными ограничениями в 10 попыток, составляет 0,0001%. Такая вероятность угадывания считается достаточно хорошей для обеспечения личной безопасности и широко применяется в финансовой сфере. Например, стандартная длина PIN-кода банковской карты составляет 4 символа при трех попытках подбора.
Рутокен — компания, которая выпускает программные и аппаратные решения для защиты информации в России.
Удобно носить с собой, кстати ударопрочное устройство, а внешне похоже на флешку. Вот только минус думаю один — нужно и правда маскировать под флешку. Потому что если написано Рутокен — то думаю может привлекать нежелательное внимание (как мне кажется).