Parus16.ru

Парус №16
13 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Введите мастер пароль для доступа в etoken

Введите мастер пароль для доступа в etoken

Зачастую возникает проблема между Mozilla Firefox и Aladdin eToken PKI Client. При попытке загрузки многих сайтов выскакивает окошко «Введите мастер-пароль для доступа в eToken» . Клиентская программа для работы с электронными ключами защиты используются при установке клиент-банка, 1с бухгалтерии и других программных продуктов, требующих аппаратной защиты с помощью HASP устройств и драйверов.

Почему так происходит?

Mozilla Firefox автоматически подключает соответствующий модуль PKCS#11 и устройство защиты eToken.

Решение проблемы с паролем

Для решения проблемы откройте настройки Firefox. Зайти в Инструменты->Настройки->Дополнительно->Шифрование

Там нажать на » Устройства защиты » выбрать eTokien и нажать кнопку » Выгрузить «.

Подробнее о настройке Mozilla Firefox для работы с eToken : http://www.aladdin-rd.ru/support/faq/etoken/category3/faq1000448/

Метки и теги: Firefox, eToken, пароль, токен, пароль

Самые популярные статьи

Зачастую возникает проблема между Mozilla Firefox и Aladdin eToken PKI Client. При попытке загрузки многих сайтов выскакивает окошко «Введите мастер-пароль для доступа в eToken» .

Mozilla Firefox автоматически подключает соответствующий модуль PKCS#11 и устройство защиты eToken.

Для решения проблемы откройте настройки Firefox. Зайти в Инструменты->Настройки->Дополнительно->Шифрование Там нажать на «Устройства защиты» выбрать eTokien и нажать кнопку «Выгрузить».

Версия ПО: eToken PKI Client 5.1 SP1, SafeNet Authentication Client 8.х, 9.х, Mozilla Firefox любых версий

Токены: eToken

Проблема:

Mozilla Firefox «не видит» подключенный eToken.

Причина:

Модуль eToken (библиотека PKCS#11) не зарегистрирован в Mozilla Firefox.

Решение:

Для этого необходимо сделать следующие настройки Firefox:

1. Откройте настройки Firefox (Firefox | Настройки). Выберите пункт «Дополнительно», перейдите на вкладку «Шифрование» и нажмите на кнопку «Устройства защиты».

2. В окне менеджера устройств нажмите на кнопку «Загрузить» для загрузки библиотеки поддержки PKCS#11.

3. В появившемся диалоге «Загрузка» устройства PKCS#11 задайте «Имя модуля» (например Aladdin eToken).

4. Укажите путь к файлу библиотеки.

— В ОС Windows нажмите на кнопку «Обзор» для выбора подключаемого файла динамической библиотеки. В окне выбора файла перейдите в системную папку x:WindowsSystem32 и найдите файл eTPKCS11.dll и нажмите на кнопку «Открыть».

— В ОС Linux в поле «Имя файла модуля» введите: /usr/lib/libeTPkcs11.so.

— В Mac OS в поле «Имя файла модуля» введите: /usr/local/lib/libeTPkcs11.dylib Нажмите кнопку OK.

Теперь, если нажать на кнопку «Просмотр сертификатов» и ввести PIN-код (запрос на ввод мастер-пароля для [имя eToken]), на вкладке «Ваши сертификаты» будут видны сертификаты, хранящиеся в eToken.

Примечание. Если Mozilla Firefox был установлен до eToken PKI Client, то при установке eToken PKI Client устройство защиты eToken и соответствующая библиотека PKCS#11 регистрируется в Firefox автоматически.

В случае, если модуль eToken не требуется в браузере Mozilla Firefox (во избежание постоянных запросов ввода PIN-кода от токена), необходимо открыть Настройки->Дополнительные->Сертификаты->Устройства защиты выбрать модуль eToken (библиотеку PKCS#11) и нажать на кнопку Выгрузить.

Xiaomi miio получение токена для доступа к устройству

miio — проприетарный шифрованный сетевой протокол для взаимодействия Wi-Fi устройств компании Xiaomi и ее суббрендов с приложением Mi Home в локальной сети. Для интеграции устройств с альтернативными системами автоматизации в подавляющем большинстве случаев необходим token для доступа к устройству. Что бы получить token устройство должно быть привязано к учетной записи Xiaomi в приложении Mi Home.

Читайте так же:
Видеорегистратор navitel r200 настройка

Универсальный способ #1 — Xiaomi cloud token extractor

Самый простой и быстрый способ получения token’а на данный момент для всех устройств компании Xiaomi использование утилиты Xiaomi cloud token extractor. В случае OS Windows это утилита, в случае использования Unix/Linux это скрипт, написанный на Python. Проект выложен на GitHub.

Для Ubuntu и Raspberry Pi установка Pyton3 и необходимых компонентов будет выглядеть так:

При запуске утилита/скрипт попросит авторизоваться учетной записью Xiaomi. Необходимы:

  • E-mail или User ID Xiaomi
  • Пароль от учетной записи
  • Выбрать страну привязки устройств, можно оставить пустым, и программа проверит для всех перечисленных стран

Огромным плюсом этого метода является то, что помимо подключенных Wi-Fi устройств, утилита показывает подключенные Bluetooth устройства, подключенные к шлюзам ZigBee устройства, созданные пульты для Mi IR Remote control.

Это удобно использовать для определения ID ZigBee устройств.

Универсальный способ #2 — модифицированный Mi Home от vevs для Android

Mi Home от vevs — модифицированный Mi Home с переводом действий, условий и статусов (русский и английский языки), подробнее в блоге автора.

  • Удаляем оригинальный Mi Home для Android
  • Запускаем установленное приложение Mi Home
  • Авторизуемся в приложении Mi Home
  • Открываем плагин необходимого устройства
  • Настройки -> Дополнительные настройки -> Информация о сети
  • В самом низу поле «Токен»

miio получение token mihome vevs

Универсальный способ #3 — Mi Home v5.4.49 для Android

Способ достаточно старый, но все еще действенный. Mi Home версии v5.4.49 для Android ведет логи взаимодействия с устройствами, логи хранятся в папке /Smarthome/logs в виде текстовых файлов. Порядок действий следующий:

    для Android. Если есть второе устройство, то лучше все операции делать на нем, иначе придется удалить текущую версию Mi Home
  • Запускаем установленное приложение Mi Home
  • Авторизуемся в приложении Mi Home
  • Для надежности открываем необходимое устройство в Mi Home
  • В менеджере файлов переходим в папку /Smarthome/logs
  • Открываем текстовый log файл
  • Просматриваем содержимое log файла, ищем по слову token

В папке может быть несколько текстовых файлов, просматриваем их все или удаляем всё содержимое папки и запускаем Mi Home v5.4.49 заново.

Результат просмотра log файла:

  • Для Xiaomi Mi Gateway v.2 — <"did":"XXXXXXXX","token«:»1234567890abcdef1234567890abcdef«,»longitude»:»XX.XXXXXXX»,»latitude»:»XX.XXXXXXX»,»name»:»Xiaomi Mi Gateway v.2″,
  • Для Mi IR Remote control — <"did":"XXXXXXXXX","token«:»1234567890abcdef1234567890abcdef«,»longitude»:»XX.XXXXXXXX»,»latitude»:»XX.XXXXXXXX»,»name»:»Mi IR Remote control»

Для моего пылесоса Mijia Robot Vacuum Cleaner 1C токен тоже есть в лог файле, но в плагин управления попасть нельзя т.к. не поддерживается версией приложения. Но это не важно, главное результат получить token.

Список устройств и методы с помощью которых мне удалось получить токен.

Xiaomi Mi Gateway 2 (DGNWG02LM)

получить token для xiaomi mi gateway 2

Токен можно получить с помощью методов #1, #2 и #3 описанных выше.

Получить токен для региона Китай можно в программе Mi Home любой версии, пока писал статью на версии Mi Home v5.9.19 обновился плагин для шлюза, из которого похоже вырезали доступ к режиму разработчика. Но в версии Mi Home v.5.8.40 плагин шлюза версии v.2.77.1 , для включения режима разработчика и получения сведений он нам сгодится.

Etoken заблокирован в результате неудачных попыток входа. PIN-код для токенов: пароль с особыми правилами. Что делать, если PIN-код пользователя заблокирован

Порядок действий:
1. Удалите заполненные пароли. Для этого, в панели управления необходимо запустить КриптоПро, в нем перейти на вкладку Сервис и нажмите кнопку Удалить запомненные пароли .

Читайте так же:
Видеокамера rekam dvc 340 отзывы

2. Установите чекбокс напротив поля Удалить все запомненные пароли закрытых ключей: Пользователя

Запустите программу eToken Properties. Переключитесь в подробный вид отображения. Для этого нажмите на кнопку и проверьте количество «попыток пароля пользователя – осталось». Должно быть «15», если «0», то еТокен заблокирован.

Необходимо войти с правами администратора. Для этого нажмите Вход с прав ами админи стратора, как это показано на скриншоте. Введите пароль из карточки отзыва (если пароль не подходит, в этом случае на носитель сохранился пароль на ранее записанный ключ).

Внимание! Ни в коем случае не допускайте блокировку под администратором. В этом случае произойдет полная блокировка устройства без возможности восстановления ключа! Если не знаете пароль, обратитесь за консультацией в техническую поддержку.

3. Затем установите пароль пользователя. Для этого нажмите Установить пароль пользователя . Введите тот же самый пароль.

После установки пароля пользователя, количество попыток будет 15 – еТокен разблокирован.

Всем привет сегодня напомню какой пароль на eToken и Rutoken. Вроде бы простые, но иногда я их под забываю. Так же мы рассмотрим, чем отличается Rutoken от eToken, так как это знают не все, а это знание весьма очень полезное. Так же я расскажу как в случае необходимости, можно поменять этот пароль.

Первое, что нужно вам объяснить что такое eToken и Rutoken > это специальные флеш носители, задачей которых является безопасное хранение сертификата подписи или шифрования (закрытый ключ), который равноценен бумажной подписи человека и все это дело защищено паролем. Производители выпускают токены с уже установленным стандартным паролем:

Отличие etoken от rutoken

И так, мы выяснил для чего все это дело используется, теперь поговорим про отличие etoken от rutoken. Во первых у рутокена красный цвет, а у etoken это красный. Во вторых у них разные объемы памяти:

  • У рутокена объем памяти варьируется от 32 кб до 126 кб
  • У Етокена максимальный объем 72Кб, где использовать пользователю можно только 47 Кб

Сразу хочу отметить, что в КриптоПРО оба носителя работают одинаково

Сводная таблица отличий etoken от rutoken

Etoken пароль по умолчанию

Хочу отметить, что если токен вы получили в каком нибудь удостоверяющем центре, то у него со сто процентной вероятностью изменен пароль и его уточнять нужно у технической поддержки, которая генерировала его. Учтите, что если некоторое количество раз ввести не ту комбинацию, токен может быть заблокирован.

Еще данные коды называют пин кодами, так, что не удивляйтесь если услышите словосочетание пин рутокена по умолчанию, у технарей свой язык.

  1. для eToken – 1234567890
  2. для Рутокен и Рутокен ЭЦП:
  • пользователь: 12345678
  • администратор: 87654321

Все теперь вы знаете какой у etoken пароль по умолчанию, я если честно постоянно их путаю. Хоть их и делают простыми, но видимо для меня эта информация не очень важная, и память реагирует по своему. Программы для смены и задания нового пасворда Etoken PKI Client или SafeNet Authentication Client.

Токены, электронные ключи для доступа к важной информации, приобретают всю большую популярность в России. Токен сейчас – не только средство для аутентификации в операционной системе компьютера, но и удобное устройство для хранения и предъявления персональной информации: ключей шифрования, сертификатов, лицензий, удостоверений. Токены надежнее стандартной пары “логин/пароль” за счет механизма двухфакторной идентификации: то есть пользователь не только должен иметь в наличии носитель информации (непосредственно сам токен), но и знать PIN-код.

Читайте так же:
Восстанови пропущенные цифры и числа

Основных форм-факторов, в которых выпускаются токены, три: USB-токен, смарт-карта и брелок. Защита при помощи PIN-кода чаще всего встречается в USB-токенах, хотя последние модели USB-токенов выпускаются с возможностью установки RFID-метки и с жидкокристаллическим дисплеем для генерации одноразовых паролей.

Остановимся подробнее на принципах функционирования токенов с PIN-кодом. PIN-код — это специально заданный пароль, который разбивает процедуру аутентификации на два этапа: присоединение токена к компьютеру и ввод собственно PIN-кода.

Наиболее популярные модели токенов на современном электронном рынке России – Рутокен, eToken от компании “Аладдин”, и электронный ключ от компании “Актив”. Рассмотрим наиболее часто задаваемые вопросы касательно PIN-кодов для токена на примере токенов этих производителей.

1. Какой PIN-код используется по умолчанию?

В таблице ниже представлены информация о PIN-кодах по умолчанию для токенов Рутокен и eToken. Пароль по умолчанию отличается для разных уровней владельцев.

При использовании JaCarta PKI с опцией «Обратная совместимость» — PIN-код — 1234567890

Для ГОСТ-функционала: PIN-код не задан

При использовании JaCarta PKI с опцией «Обратная совместимость» — PIN-код не установлен

Для ГОСТ-функционала: 1234567890

Для ГОСТ-функционала: 0987654321

Для ГОСТ-функционала: 1234567890

2. Надо ли изменять PIN-код по умолчанию? Если да, то в какой момент работы с токеном?

3. Что делать, если PIN-коды на токене неизвестны, а PIN-код по умолчанию уже сброшен?

Единственный выход — полностью очистить (отформатировать) токен.

4. Что делать, если PIN-код пользователя заблокирован?

Разблокировать PIN-код пользователя можно через панель управления токена. Для выполнения этой операции необходимо знать PIN-код администратора.

5. Что делать, если PIN-код администратора заблокирован?

Разблокировать PIN-код администратора невозможно. Единственный выход — полностью очистить (отформатировать) токен.

6. Какие меры безопасности предприняты производителями для снижения риска подбора пароля?

Основные пункты политики безопасности для PIN-кодов USB-токенов компаний “Аладдин” и “Актив” представлены в таблице ниже. Проанализировав данные таблицы можно сделать вывод, что eToken предположительно будет иметь более защищенный пин код. Рутокен, хоть и позволяет задавать пароль всего из одного символа, что небезопасно, по остальным параметрам не уступает продукту компании “Аладдин”.

Администрирование безопасности PIN-кода

Важность сохранения PIN-кода в секрете известна всем тем, кто использует токены в личных целях, хранит на нем свою электронную подпись, доверяет электронному ключу информацию не только личного характера, но и детали своих бизнес-проектов. Токены компаний “Аладдин” и “Актив” обладают предустановленными защитными свойствами и вместе с определенной долей предосторожности, которая будет проявлена пользователем, снижают риск подбора пароля до минимума.

Программные продукты Рутокен и eToken представлены в различных конфигурациях и форм-факторах. Предлагаемый ассортимент позволит вам выбрать именно ту модель токена, которая наиболее отвечает вашим требованиям, будь то

Справочник анонима. Как работают токены аутентификации и в чем их отличия от паролей

Статьи из этого цикла публикуются бесплатно и доступны всем. Мы убеждены, что каждый имеет право на базовые знания о защите своих данных.

Другие статьи цикла:

  • «Теория и практика шифрования почты»;
  • «Виды шифрования и защиты трафика, выбор софта»;
  • «Как шифровать переписку в Jabber: пошаговая инструкция»;
  • «Делаем шпионскую флешку с защищенной операционкой Tails».
Читайте так же:
Восстановить значки панели управления

Если для тебя эти материалы тривиальны — отлично! Но ты сделаешь доброе дело, отправив ссылку на них своим друзьям, знакомым и родственникам, менее подкованным в технических вопросах.

Подписываемся под данными

И людям, и программам нужно знать, что данные были созданы доверенным источником и остались неизменными. Для этого была придумана технология генерации специального хеша (подписи), который подтверждает целостность информации и достоверность ее отправителя/создателя. Для создания этой самой подписи используется схема из нескольких шагов, цель которых — защитить данные от подделки.

Схема генерации HMAC (hash-based message authentication code), кода аутентификации сообщений с использованием хеш-функции

Схема генерации HMAC (hash-based message authentication code), кода аутентификации сообщений с использованием хеш-функции

Другие статьи в выпуске:

Xakep #247. Мобильная антислежка

Алгоритм хеширования может меняться, но суть этого подхода проста и неизменна: для подтверждения целостности сообщения необходимо снова найти подпись защищаемых данных и сравнить ее с имеющейся подписью.

Придумываем коды доступа

Люди, которые придумали двухфакторную аутентификацию, по всей видимости, руководствовались принципом «одна голова хорошо, а две — лучше». И действительно — два пароля точно безопаснее одного. Но пароли, которые отправляет сайт в SMS, нельзя назвать абсолютно защищенными: сообщение чаще всего можно перехватить. Другое дело — специальные приложения для аутентификации, они нацелены на полную защиту всего процесса входа пользователя в аккаунт. Именно их мы сейчас с тобой и разберем.

Создание безопасных одноразовых паролей состоит из двух этапов:

  1. Первичная настройка — включение двухфакторной аутентификации.
  2. Использование пароля — непосредственный ввод кода и отправка для проверки.

В таком случае пользователь с помощью приложения, доступного на любом устройстве, сможет генерировать коды в соответствии со всеми стандартами.

Первоначальная настройка приложения заключается в обмене секретным ключом между сервером и приложением для аутентификации. Затем этот секретный ключ используется на устройстве клиента, чтобы подписать данные, которые известны и серверу, и клиенту. Этот ключ и служит главным подтверждением личности пользователя при вводе пароля на сервере.

На самом деле весь секрет — последовательность из случайных символов, которые закодированы в формате Base32. Суммарно они занимают не меньше 128 бит, а чаще и все 190 бит. Эту последовательность и видит пользователь как текст или QR-код.

Так выглядит код QR для обмена секретом Так выглядит код QR для обмена секретом
Тот же самый секрет, только текстом Тот же самый секрет, только текстом

Как приложение создает одноразовые коды? Все просто: приложение с помощью ключа хеширует какое-то значение, чаще всего число, берет определенную часть получившегося хеша и показывает пользователю в виде числа из шести или восьми цифр.

С самого начала для этого числа разработчики использовали простой счетчик входов. Сервер считал количество раз, которое ты заходил, например, на сайт, а приложению было известно, сколько раз ты запрашивал одноразовый пароль. Именно это значение и использовалось для создания каждого следующего одноразового кода. В современных приложениях вместо счетчика берется текущее время — и это намного удобнее для пользователя: счетчики входов часто сбивались, и их приходилось настраивать заново.

Теперь давай попробуем посчитать код для авторизации самостоятельно. Для примера представим, что мы решили прямо в Новый год опубликовать фотографию красивого фейерверка и, чтобы это сделать, нужно войти в свой аккаунт, а значит, нам не обойтись без одноразового пароля.

Читайте так же:
Восстановить мои последние закладки

Возьмем время празднования Нового года в формате UNIX ( 1577811600000 ) и посчитаем порядковый номер нашего пароля: поделим на 30 секунд — 52593720 . Воспользуемся нашим секретом и вычислим хеш — по стандарту RFC 6238 это функция SHA-1:

Не забудь про аргумент -n для команды echo , чтобы в ее выводе не было ненужного перевода строки, иначе хеш будет другим.

Теперь дело за малым: нужно получить шесть цифр, которые мы и будем отправлять на сервер при авторизации. Возьмем последние четыре бита хеша — сдвиг, — это будет число a , или 10. Именно по этому сдвигу расположен наш код, который пока в виде байтов, — 03b08b12 = 61901586 . Отбросим все цифры этого числа, кроме шести последних, и получим наш новенький, готовый к использованию одноразовый код — 901586 .

Входим в приложение

Ни одно современное приложение не спрашивает пароль у пользователя постоянно, поскольку пользователей это раздражает. Именно поэтому разработчики и ученые-криптографы придумали токены, которые могут заменить собой пару логин — пароль. Перед учеными стояла задача не столько скрыть какую-то информацию, сколько создать общий стандарт для ее хранения и подтверждения ее надежности. Для всего этого была придумана технология JSON Web Token (JWT).

Как работает JWT?

Если есть данные, достоверность которых следует подтвердить, нам надо подписать их секретным ключом, используя HMAC. Для этого применяется такой же способ хеширования, что и для одноразовых паролей, только вместо шести цифр берется весь хеш целиком. Единственная разница — это сам алгоритм хеширования: в таких токенах SHA-1 считают слишком коротким и небезопасным, поэтому обычно используют SHA-256.

Главная задача JWT — подтверждение личности создателя токена и сопутствующих данных. Обычно содержимое токена — логин или другой идентификатор пользователя.

Давай попробуем создать свой токен. Продолжим нашу маленькую историю с публикацией фотографии фейерверка в соцсети: мы ввели одноразовый пароль, сервер подтвердил нашу личность и хочет выдать токен, чтобы мы смогли с его помощью открыть наше приложение.

Любой токен состоит из трех частей: заголовка со служебной информацией, данных и подписи. Так как стандартом безопасности считается SHA-256, то мы запишем его в наш заголовок.

Внутри самого токена будет храниться информация об идентификаторе аккаунта, в который мы только что вошли.

Закодируем наши данные и заголовок в Base64 и соединим их через точку. Это делается, чтобы безопасно пересылать данные через HTTP: eyJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjogMTIzNDU2fQ . Теперь, зная и данные, и заголовок, мы можем посчитать ее хеш, который содержит наш пароль — строку QWERTYUI12345678 .

Этот хеш нам тоже надо перевести в кодировку Base64 и затем присоединить к уже имеющейся строке из заголовка и данных: eyJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjogMTIzNDU2fQ.4Ka0ipYe4/x-s4r82xqO8i77BXLh1TM7hdsqpmkZ6Y4 — это и есть наш токен. Можно пользоваться!

Так выглядит наш токен

Так выглядит наш токен

Подробнее про стандарт JWT можно почитать на сайте организации RFC, а про реализацию для своего любимого языка — на сайте jwt.io.

Заключение

Теперь ты знаешь, что происходит каждый день, когда ты открываешь браузер и заходишь в какой-нибудь веб-сервис. Понимая, как это работает, ты сможешь лучше защитить свои данные, а возможно, даже решишь применить какой-то из этих методов в своих разработках.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector