Смарт-карт ридер JCR721 поддерживает работу с любыми контактными смарт-картами (MCU) стандарта ISO 7816 Part 1-3 Class A, B, C (5V, 3V, 1.8V), по протоколам Т=0, Т=1/TPDU.
Более подробнее о характеристиках ридера JCR721 можно прочитать на странице продукта https://www.aladdin-rd.ru/catalog/readers/JCR-721
Сценарии использования смарт-карт ридера очень различны, если говорить об аутентификации в Windows, то можно использовать штатные средства Windows или дополнительное ПО, у нас есть продукт JaCarta SecurLogon, ссылка на продуктовую страницу: https://www.aladdin-rd.ru/catalog/jacarta_securlogon.
Данное ПО позволяет быстро перейти от паролей к двухфакторной аутентификации для входа в ОС.
Некоторые сервисы тоже позволяют использовать смарт-карту для входа или работы в них, но для настройки этих сервисов необходимо смотреть инструкции тех сервисов, которые вы планируете использовать.
Смарт-карт ридер обеспечивает работу со смарт-картой, но что записывать на рабочую смарт-карту, определяет сервис или система, в которой вы планируете её использовать.
Смарт-карт ридеры можно применять, как в корпоративных системах, так и в бытовых.
В корпоративных системах применяется в различных сценариях. В бытовых можно также использовать при входе в Windows, для хранения ключей на смарт-карте и др. Для этого нужен ридер, смарт-карта и настроенное необходимым образом ПО.
Описанная возможность попыток подбора PIN-кода, когда PIN оставлен стандартным или изменен на достаточно простой, не является специфичной для токенов производства «Аладдин Р.Д.», она общая для подобных устройств. Аналогичная ситуация при попытках блокировки токенов после неудачных попыток ввода PIN-кода. При использовании токенов для защиты от подобных атак существуют общеизвестные рекомендации для владельцев токенов:
необходимо отключать устройство от компьютера в период, когда не требуется выполнять операции с его использованием;
владелец токена не должен посещать посторонние сайты или переходить по ссылкам в то время, когда токен подключен и используется;
стандартный пароль от токена (PIN-код) необходимо менять на более сложный при первом использовании (рекомендуемая длина – от 6 символов).
Понимая, что не все владельцы токенов следуют общеизвестным рекомендациям, мы специально предусмотрели в наших продуктах дополнительную защиту и функциональность. Так, токены JaCarta-2 ГОСТ поддерживают
1. Возможность установить гибкие политики использования PIN-кодов перед выдачей токена пользователю:
a. необходимость смены PIN-кода при первом использовании;
b. минимальная длина;
c. обязательное наличие специальных символов (!, $, #, % и др. символов, коды которых находятся в диапазонах 20h–2Fh, 3Ah–40h, 5Bh–60h и 7Bh–7Eh);
d. обязательное наличие цифр (от 0 до 9, т.е. символов, коды которых находятся в диапазоне 30h–39h);
e. обязательное наличие строчных букв (от a до z или от а до я в кодировке Windows-1251, т.е. символов, коды которых находятся в диапазонах 61h– 7Ah и E0h–FFh);
f. обязательное наличие прописных букв (от A до Z или от А до Я в кодировке Windows-1251, т.е. символов, коды которых находятся в диапазонах 41h– 5Ah и С0h–DFh).
2. Различные механизмы разблокировки токена:
a. разблокировка по PUK-коду;
b. разблокировка по времени;
c. разблокировка с использованием механизма Challenge-Response.
Таким образом, рекомендуем Вам использовать специально реализованные в токенах механизмы – и описанных Вами проблем возможного подбора «слабого» PIN-кода или невозможности разблокировки не будет.
Более того, мы пошли далее, и решили сделать работу пользователей еще более удобной, реализовав в новой версии JC-WebClient 4.2 механизм фильтрации сайтов, которые работают с токеном. JC-WebClient проверяет адрес сайта, который обращается к токену, и, если сайт не находится в списке доверенных, JC-WebClient блокирует такую попытку и запрашивает подтверждение пользователя.
В случае подтверждения адрес сайта заносится в список доверенных, и далее подтверждение больше не требуется. При необходимости пользователь может удалить сайт из списка доверенных через интерфейс JC-WebClient.
Такая дополнительная функциональность предотвращает попытки фишинговых сайтов заблокировать токен. До необходимости разблокировки дело даже не доходит.
P.S. При работе с моделями eToken PRO (Java) или JaCarta PRO также предусмотрена возможность установить требование на сложность PIN-кода, необходимость принудительной смены PIN-кода по умолчанию и задействовать механизм разблокировки. Описанная выше функциональность доверенных сайтов также работает в отношении указанных моделей.
Библиотека PKCS#11, которая используется в «Едином Клиенте JaCarta» написана сотрудниками «Аладдин Р.Д.» и подписана цифровой подписью Аладдин.
«Аладдин Р.Д.» проводит сертификацию своих решений во ФСТЭК России с соответствующим уровнем контроля отсутствия недекларированных возможностей и предоставлением исходных кодов по запросу регуляторов.
Библиотека PKCS#11 совершенствуется для различных платформ (например, Apple Mac, мобильных платформ) и в процессе развития проектов (например, ЕГАИС).
Что касается истории использования версий библиотек PKCS#11, распространявшихся «Аладдин Р.Д.», то в состав СТАРЫХ версий продуктов и решений «Аладдин Р.Д.» могли входить ОТДЕЛЬНЫЕ ВЕРСИИ библиотеки, разработанных Athena. Замена версий библиотек происходит по мере запросов со стороны партнеров/заказчиков.
Потому что другого пути генерации ключевой пары для SSH нет. Соответственно приходится часть шагов производить «вручную». Конечно, это несколько менее безопасный путь, чем если бы ключи генерировались прямо в смарт-карте. Но все равно, это гораздо надежнее, чем парольная аутентификация.
Более подробнее о характеристиках ридера JCR721 можно прочитать на странице продукта https://www.aladdin-rd.ru/catalog/readers/JCR-721
Сценарии использования смарт-карт ридера очень различны, если говорить об аутентификации в Windows, то можно использовать штатные средства Windows или дополнительное ПО, у нас есть продукт JaCarta SecurLogon, ссылка на продуктовую страницу: https://www.aladdin-rd.ru/catalog/jacarta_securlogon.
Данное ПО позволяет быстро перейти от паролей к двухфакторной аутентификации для входа в ОС.
Некоторые сервисы тоже позволяют использовать смарт-карту для входа или работы в них, но для настройки этих сервисов необходимо смотреть инструкции тех сервисов, которые вы планируете использовать.
Смарт-карт ридер обеспечивает работу со смарт-картой, но что записывать на рабочую смарт-карту, определяет сервис или система, в которой вы планируете её использовать.
На нашем сайте есть полезный раздел, который может вам помочь — Интеграционные инструкции
В корпоративных системах применяется в различных сценариях. В бытовых можно также использовать при входе в Windows, для хранения ключей на смарт-карте и др. Для этого нужен ридер, смарт-карта и настроенное необходимым образом ПО.
Понимая, что не все владельцы токенов следуют общеизвестным рекомендациям, мы специально предусмотрели в наших продуктах дополнительную защиту и функциональность. Так, токены JaCarta-2 ГОСТ поддерживают
1. Возможность установить гибкие политики использования PIN-кодов перед выдачей токена пользователю:
a. необходимость смены PIN-кода при первом использовании;
b. минимальная длина;
c. обязательное наличие специальных символов (!, $, #, % и др. символов, коды которых находятся в диапазонах 20h–2Fh, 3Ah–40h, 5Bh–60h и 7Bh–7Eh);
d. обязательное наличие цифр (от 0 до 9, т.е. символов, коды которых находятся в диапазоне 30h–39h);
e. обязательное наличие строчных букв (от a до z или от а до я в кодировке Windows-1251, т.е. символов, коды которых находятся в диапазонах 61h– 7Ah и E0h–FFh);
f. обязательное наличие прописных букв (от A до Z или от А до Я в кодировке Windows-1251, т.е. символов, коды которых находятся в диапазонах 41h– 5Ah и С0h–DFh).
2. Различные механизмы разблокировки токена:
a. разблокировка по PUK-коду;
b. разблокировка по времени;
c. разблокировка с использованием механизма Challenge-Response.
Таким образом, рекомендуем Вам использовать специально реализованные в токенах механизмы – и описанных Вами проблем возможного подбора «слабого» PIN-кода или невозможности разблокировки не будет.
Более того, мы пошли далее, и решили сделать работу пользователей еще более удобной, реализовав в новой версии JC-WebClient 4.2 механизм фильтрации сайтов, которые работают с токеном. JC-WebClient проверяет адрес сайта, который обращается к токену, и, если сайт не находится в списке доверенных, JC-WebClient блокирует такую попытку и запрашивает подтверждение пользователя.
В случае подтверждения адрес сайта заносится в список доверенных, и далее подтверждение больше не требуется. При необходимости пользователь может удалить сайт из списка доверенных через интерфейс JC-WebClient.
Такая дополнительная функциональность предотвращает попытки фишинговых сайтов заблокировать токен. До необходимости разблокировки дело даже не доходит.
P.S. При работе с моделями eToken PRO (Java) или JaCarta PRO также предусмотрена возможность установить требование на сложность PIN-кода, необходимость принудительной смены PIN-кода по умолчанию и задействовать механизм разблокировки. Описанная выше функциональность доверенных сайтов также работает в отношении указанных моделей.
«Аладдин Р.Д.» проводит сертификацию своих решений во ФСТЭК России с соответствующим уровнем контроля отсутствия недекларированных возможностей и предоставлением исходных кодов по запросу регуляторов.
Библиотека PKCS#11 совершенствуется для различных платформ (например, Apple Mac, мобильных платформ) и в процессе развития проектов (например, ЕГАИС).
Что касается истории использования версий библиотек PKCS#11, распространявшихся «Аладдин Р.Д.», то в состав СТАРЫХ версий продуктов и решений «Аладдин Р.Д.» могли входить ОТДЕЛЬНЫЕ ВЕРСИИ библиотеки, разработанных Athena. Замена версий библиотек происходит по мере запросов со стороны партнеров/заказчиков.