Форум Рутокен — Кэширование пароля к токену

Re: Кэширование пароля к токену

2025-07-31T11:28:58Z

blanco, это настройки ля подписания в signtool, это не базовая настройка Windows и в целом иной принцип

Re: Кэширование пароля к токену

2025-07-31T11:28:05Z

Филиппов Никита пишет:

blanco, В момент запуска ПУР есть открытое ПО КриптоПро или страница с запущенным браузером-плагином?

Честно говоря, поддержку осуществляли удаленно, поэтому особенно долго порыться в системе не удалось.
При закрытом Крипто-Про точно пробовали вызывали ПУР, а вот браузер мог и висеть в свернутом состоянии. Соответственно, какие там вкладки висели не посмотрели.

Филиппов Никита пишет:

blanco, Какая версия КриптоПРО используется?
Или есть другое запущенное ПО, которое может работать с токеном?

КриптоПро Версия 5.0. В tray вроде бы ничего особенного не было.

Re: Кэширование пароля к токену

2025-07-31T11:08:04Z

Филиппов Никита,

А вот еще, в инструкции

https://dev.rutoken.ru/pages/viewpage.a … нияPINкода

нашелся следующий текст:

"Настройка кеширования PIN кода - Для включения кеширования пин-кода необходимо обратиться в службу нашей технической поддержки."

Не расскажите, что это за настройки такие? Может быть у этого клиента как раз настроено кеширование на уровне драйвера Рутокен и поэтому PIN никогда не спрашивается?

Re: Кэширование пароля к токену

2025-07-31T11:02:35Z

blanco, Да, ПУР обращается напрямую, но если какой-то процесс "вошел" на токен и не разлогинился, то ПУР будет это отображать.
В момент запуска ПУР есть открытое ПО КриптоПро или страница с запущенным браузером-плагином?
Какая версия КриптоПРО используется?
Или есть другое запущенное ПО, которое может работать с токеном?

Re: Кэширование пароля к токену

2025-07-31T09:33:50Z

Филиппов Никита, я себе это представлял так: при операциях (подписи, создания ключевой пары и т.д.) программы через CryptAcquireContext создают контекст для ГОСТ провайдера от КриптоПро (например, PROV_GOST_2012_256), а дальше этот провайдер при обращении к закрытому ключу запрашивает PIN. Если приложение позаботится и через CryptSetProvParam(PP_SIGNATURE_PIN) выставит PIN в своём открытом контексте, то окошка с запросом не будет. Соответственно, с чего бы 1С, ЭДО и пр. навешивать PP_SIGNATURE_PIN на контексты открытые в чужих процессах. Тут видимо какое-то вмешательство на уровне токена случается.

Не подскажите, когда в "Панели управления Рутокен" кнопка сама меняется на "Выйти...", что физически происходит? Ведь "Панель" наверняка взаимодействует с токеном на прямую, без обращений к CSP-провайдеру.
Даже если пароль сохранен в Крипто-Про, она же не должна "логинить" сессию "Панели управления Рутокен"?

Re: Кэширование пароля к токену

2025-07-31T08:28:56Z

blanco, насколько мне известно, сам Windows не может запоминать PINы, возможно 1С, плагины от операторов ЭДО (СБИС, Контур)
КриптоПро CSP может запомнать как надолго, так и пока не завершится рабочая сессия, возможно какой то процесс завершился не полностью (не было команды на *разлогин*)

Re: Кэширование пароля к токену

2025-07-30T15:48:38Z

blanco, у вас специфический вопрос, но по факту: токен у вас работает, ПИН-коды и пароли никто не помнит, даже если и есть приложение, которое запомнило пароль, вы его не сможете подсмотреть в виду защиты информации.

Re: Кэширование пароля к токену

2025-07-30T15:19:02Z

Филиппов Никита, так в этом собственно и суть вопроса: что может "логинить" токен. Какие бывают программы или механизмы в Windows для сохранения паролей, что нам искать на этом рабочем месте?
Не похоже, чтобы это было КриптоПро, т.к. csptest говорит, что нет сохраненных паролей.

Неприятность ситуации в том, что пользователь когда-то ввёл пароль для своей первой КЭП, а потом на этом рабочем месте уже без запроса PIN сгенерировался новый контейнер для новой КЭП. В такой ситуации причинно-следственной связи между старой карточкой с PIN и новой КЭП в голове пользователя не возникает.

Re: Кэширование пароля к токену

2025-07-30T15:05:19Z

blanco, нет, если подходить к вопросу глубже, когда кнопка *Ввести PIN* сменяется на *Выйти*, значит токен *залогинен*, возможно другим процессом, какие то еще программы взаимодействуют с токеном?

Re: Кэширование пароля к токену

2025-07-30T14:59:18Z

blanco, у меня такое встречалось пару раз, я так и не понял причины такого поведения.

Re: Кэширование пароля к токену

2025-07-30T14:52:26Z

Хорошо, предположим пароль был сохранен в КриптоПро.
Как пароль, сохраненный в КриптоПро, вызывает автоматическую авторизацию в "Панели управления Рутокен"?
Так должно быть?

Re: Кэширование пароля к токену

2025-07-30T14:26:25Z

blanco, добрый день!
На токене не должны быть одинаковые PIN коды для Пользователя и Администратора, это чревато ошибками.
В целом верно, настроить запоминание паролей можно в КриптоПро CSP.

Re: Кэширование пароля к токену

2025-07-30T14:16:40Z

blanco, КриптоПро умеет запоминать пароли. Откройте программу КриптоПро CSP на вкладке Сервис. Раздел - Пароли закрытых ключей. Но к сожалению, подглядеть пароль нельзя.

Re: Кэширование пароля к токену

2025-07-30T14:00:20Z

Нет, стандарный 123456578 не подходит. Мы точно знаем, что установлен уникальный пароль, 8 символов, одинаковый для PIN и PUK. Просто карточка с ним утеряна. PIN последний раз вводился несколько лет назад, когда еще самая первая КЭП с этого носителя использовалась.

Вопрос уже даже больше теоретический: что за механизм многие годы хранит пароль в Windows и передает его и в "Крипто-Про", и в "Панель управления Рутокен". Причем именно как PIN от всего носителя, а не от конкретного ключевого контейнера.

Например, Крипто-Про умеет запоминать PIN при включении галочки "Сохранить пароль в системе". Но, во-первых, он запоминается для контейнера (при создании нового контейнера на этом же носителе просит ввести PIN), во-вторых, сохраненный пароль отображается утилитой csptest.exe.

Re: Кэширование пароля к токену

2025-07-30T13:20:54Z

blanco, а стандартные PIN-коды 12345678/87654321 не подходят?