Что делать, если забыли ПИН-код или пароль к электронной подписи

1. Вопрос 1. Зачем нужны ПИН-код и пароль электронной подписи?
2. Вопрос 2. Обязательно ли устанавливать пользовательские ПИН-коды и придумывать пароль?
3. Вопрос 3. Можно ли сбросить, восстановить либо поменять данные, если забыл пароль сертификата электронной подписи или ПИН-код?
4. Вопрос 4. Что делать, если забыл (потерял) ПИН-код?
5. Вопрос 5. Как узнать пароль к сертификату электронной подписи, если забыл его или потерял запись?

Вопрос 1. Зачем нужны ПИН-код и пароль электронной подписи?

ПИН (PIN) — персональный идентификационный номер в виде цифрового кода. Он защищает доступ к содержимому USB-токена или другого накопителя, на который записаны средства создания КЭП (сертификат, закрытый ключ). Первично защиту обеспечивает заводской код. Он очень простой. Например, «12345678» или «1234567890». Узнать комбинацию можно в документации к носителю (также носители называют токенами). В целях безопасности ПИН-код, установленный производителем, рекомендуется заменить на пользовательский — придумать свой набор цифр.

Дополнительно у USB-токена может быть второй код — административный. Он работает внутри панели управления, даёт доступ к настройкам и корректировке пользовательского пароля. Первично такой ПИН-код установлен производителем. В целях безопасности его нужно заменить на свой, придуманный владельцем.

Пароль КЭП — это набор цифр, букв или символов, который защищает доступ к хранилищу (контейнеру) со сгенерированными ключами — средствами создания подписи. Контейнер владелец ЭП формирует и сохраняет с помощью криптопровайдера (СКЗИ) — программного обеспечения для работы с КЭП. В момент сохранения задаётся пароль к хранилищу: комбинацию вводят в специальном окошке программы. При использовании электронной подписи каждый раз нужно будет вводить пароль. Его можно сохранить в криптопровайдере или системе ПК — тогда он запрашиваться не будет, но это снижает уровень защиты.

Двухфакторную защиту важно использовать, когда контейнер с ключами сохраняется на компьютере. Если он находится на токене, защитой будет ПИН-код.

Вопрос 2. Обязательно ли устанавливать пользовательские ПИН-коды и придумывать пароль?

Если вы оставите заводские коды, это не помешает работе с КЭП. Но нужно понимать, что производитель использует одни и те же сочетания цифр для всех устройств определённой линейки, модели и т.д. Их легко найти в интернете. Если коды не поменять, любой, кто завладеет токеном, без труда получит доступ к ключам электронной подписи.

При формировании и сохранении контейнера после генерации ключей ЭП криптопровайдер (СКЗИ) запросит ввод и повтор пароля. Этот этап можно пропустить, и тогда пароль не будет запрашиваться при использовании КЭП. Но если местом хранения выбран ПК, в целях безопасности рекомендуется применить двухфакторную защиту: код токена + пароль контейнера.

Вопрос 3. Можно ли сбросить, восстановить либо поменять данные, если забыл пароль сертификата электронной подписи или ПИН-код?

Сброс и восстановление данных невозможно. Не поможет и удостоверяющий центр, который выпустил сертификат и предоставил (продал) USB-токен. В УЦ нет таких сведений.

Разблокировать или изменить пользовательский код можно, если известен административный. В этом случае замену делают в панели управления — программном обеспечении для работы с токеном. Аналогичный функционал есть в программе-криптопровайдере.

Если владелец забыл пароль к сертификату ЭП, сброс, изменение недоступны. Относительно быстро решить проблему можно, если данные сохранены в системе.

Вопрос 4. Что делать, если забыл (потерял) ПИН-код?

Сначала пробуют метод подбора. Для пользовательского PIN есть 10 попыток подбора, для административного — столько же.

Как поступить:

1. Убедитесь, что вы меняли PIN на свои коды. Для этого введите заводские коды. Их можно уточнить в документации к токену, в техподдержке удостоверяющего центра, поискать в интернете. Стандартный пользовательский пин-код — 12345678 или 1234567890, административный — 87654321, 00000000, 1234567890.
2. Если заводские коды не подошли, сосредоточьтесь и постарайтесь вспомнить свои комбинации. Возможно, они связаны с каким-то событием, датой, повторяют цифровой набор, который используете в других целях (банковские карты, симки и т.п.).
3. Если известен или удалось подобрать административный пин, измените пользовательский код через панель управления или в криптопровайдере.

Если ничего не сработало, остаётся только отозвать сертификат КЭП и выпустить новый. Необязательно покупать новый токен, можно отформатировать старый и снова записать на него средства создания электронной подписи.

Вопрос 5. Как узнать пароль к сертификату электронной подписи, если забыл его или потерял запись?

Вариантов несколько:

1. Использовать метод подбора. Здесь ограничений по количеству попыток нет.
2. Скопировать контейнер и перенести на другой ПК. Способ может сработать, если пароль был запомнен криптопровайдером, системой, а значит, программа не попросит вводить в процессе копирования.
3. Выпустить новую электронную подпись.

Как поступить в конкретной ситуации, если забыли пароль к сертификату электронной подписи либо код токена, рекомендуем уточнять в техподдержке удостоверяющего центра. Стандартные методы не всегда работают. Например, часто возникают ошибки при попытке копирования контейнера из-за отсутствия доступа к нему или разрешения на экспорт. Сценарий действий может отличаться в зависимости от модели токена, его параметров, используемого криптопровайдера. Бывают ситуации, когда нужен массовый перенос ключей, а это значительно усложняет задачу.