| ||||
| ||||
После выхода на работу из отпуска, сотрудники не помнят пароли на закрытые ключи ЭЦП. Возможно ли поменять пароль на контейнер с ключами ЭЦП без ввода "СТАРОГО" с помощью модулей КриптоПро v.2 или v.3 (если возможно, пришлите на e-mail)? Помогите, очень нужно Или же прийдется генерить новые ключи ЭЦП и выдавать новые сертификаты :( ? | ||||
Ответы: | ||||
| ||||
Поменять пароль на новый можно только при вводе правильного текущего пароля. Если ключевой носитель не предусматривает аппаратную блокировку при превышении числа попыток ввода пароля (например, дискета, флешка, реестр, eToken R2, Touch-Memory Dallas) - то можно попробовать подобрать пароль - реальное число попыток не ограничено. Если носитель имеет аппаратную блокировку при превышении числа попыток ввода пароля (например, смарт-карты, eToken PRO, eToken NG/OTP, ruToken) - то количество попыток ограничено. Если пароль на этот контейнер был запомнен на каком-либо другом компьютере или на этом компьютере под другим пользователем Windows (т.е. в окне ввода пароля поставили галку Сохранить) - то значение пароля хранится в реестре, можно посмотреть. Если пароль подобрать не удастся - то выход один - получать новый ключ и сертификат. | ||||
| ||||
Если пароль на закрытый ключ ЭЦП хранится в реестре (установлена галочка "запомнить пароль"), то его и не нужно будет злоумышленнеку подбирать. Достаточно открыть regedit. Поэтому при наличии такой "уязвимости пароля" почему бы не добавить "кнопочку" в свойствах криптопро к примеру "Обнулить пароль" или "Задать пароль" без ввода "старого", которая будет доступна только локальному администратору. К томуже все операции с ключами ЭЦП производятся в присутствии владельца | ||||
| ||||
> Если пароль на закрытый ключ ЭЦП хранится в реестре (установлена галочка "запомнить пароль"), то его и не нужно будет злоумышленнеку подбирать. Достаточно открыть regedit. Ничего подобного. Если у злоумышленника нет прав администратора на этом компьютере - то он не сможет увидеть чужой запомненный пароль. Если злоумышленник знает пароль входа в windows самого владельца ключа - то да, он сможет посмотреть и запомненный пароль на контейнер. Вывод - не надо давать злоумышленнику пароль администратора или свой пароль для входа в Windows :) > Поэтому при наличии такой "уязвимости пароля" почему бы не добавить "кнопочку" в свойствах криптопро к примеру "Обнулить пароль" или "Задать пароль" без ввода "старого", которая будет доступна только локальному администратору. А в чём тут уязвимость? Ставить или не ставить галку "Запомнить пароль" - дело добровольное. Если пароль запомнен, то как раз имеет место описанный Вами случай - для смены пароля Вас не попросят ввести старый пароль. Т.е. это уже есть. Если пароль НЕ запомнен - то вряд ли имеет смысл позволять его менять или обнулять человеку, который не знает текущий пароль. К тому же, для ряда носителей (например, смарткарт) это физически невозможно. > К томуже все операции с ключами ЭЦП производятся в присутствии владельца Кто ж спорит? Просто бывает человек работает с ключом на нескольких компьютерах, и на одном из них поставил галку "запомнить пароль". Тогда, если человек пароль забыл - можно будет его посмотреть и использовать на других компьютерах. | ||||