Page tree

Общая информация

Рутокен MFA — линейка токенов для аутентификации в веб-сервисах, работающих по протоколу FIDO2 (CTAP2). Устройства линейки Рутокен MFA выступают в качестве единого средства защиты учетных записей веб-сервисов с использованием двухфакторной аутентификации.

В данной инструкции представлена информация о линейке устройств Рутокен MFA. В ней описаны процедуры управления устройством (задание и изменение PIN-кода, сброс устройства), а также авторизация в веб-сервисах и операционных системах.

Линейка продуктов

Устройства линейки Рутокен MFA оснащены сенсорной кнопкой и световой индикацией. Сенсорная кнопка на корпусе используется для подтверждения физического присутствия пользователя.

Линейка продуктов Рутокен MFA состоит из двух продуктов:

  • Рутокен MFA C,
  • Рутокен MFA micro,
  • Рутокен MFA C Nano.
Название устройстваВнешний видИнтерфейсРазмер и массаСерийный номер
Рутокен MFA С

USB Type-C
  • 29,5x13x6 мм
  • 3 гр

указан на боковой грани корпуса

Рутокен MFA micro

micro USB Type-A
  • 7,8х15,4х5,8 мм
  • 1,6 гр

указан на металлической части разъема

Рутокен MFA C Nano

USB Type-C
  • 11х16х8 мм
  • 1,5 гр

указан на металлической части разъема


Ключевые характеристики линейки

Все устройства линейки поддерживают:

  • протокол FIDO2 (реализована последняя версия протокола FIDO_2_1 или CTAP2.1. Спецификация);

    Аутентификация с устройствами Рутокен MFA осуществляется по стандарту FIDO2

    Стандарт обеспечивает высокий уровень безопасности, поскольку основан на криптографии с открытым ключом. 

    Рутокен MFA позволяет хранить резидентные учетные данные. Поскольку эти учетные данные могут содержать имя пользователя и другие данные, это обеспечивает качественную однофракторную аутентификацию на сайтах и ​​в приложениях, поддерживающих протокол WebAuthn. 

  • алгоритм электронной подписи ES256 (ECC P256);

  • протокол U2F (CTAP 1.2);

  • однофакторную аутентификацию в 16 аккаунтах одним токеном.

Поддерживаемые сервисы и операционные системы

Веб-сервисы

Устройства Рутокен MFA позволяют быстро и безопасно защитить аккаунты в веб-сервисах, поддерживающих спецификацию WebAuthn:

Операционные системы и браузеры

Программная поддержка устройств Рутокен MFA реализуется связкой операционной системы и браузера. Поддерживаются десктопные и мобильные ОС:

Windows (10 и выше):

Браузер

Двухфакторная аутентификация

Однофакторная аутентификация

Edge MS (Chromium)

Да

Да

Google Chrome

Да

Да

Mozilla Firefox*

Да

Да

Яндекс Браузер

Да

Да

* –  для работы браузера Firefox требуется настройка параметров конфигурации браузера. Как это сделать.


Linux (Astra-Linux 1.6/1.7+, Alt-Linux 8/9/10+, РЕД-ОС 7.2/7.3+, Debian 10+, Ubuntu 18+, CentOS 7.8+)

Браузер

Двухфакторная аутентификация

Однофакторная аутентификация

Google Chrome

Да

Да

Firefox*

Да

Да (версия 114 или выше)

Яндекс Браузер

Да

Да

* – для работы браузера Firefox требуется настройка параметров конфигурации браузера. Как это сделать.

MacOS * (10.4 и выше):

Браузер

Двухфакторная аутентификация

Однофакторная аутентификация

Safari

Да

Да **

Google Chrome

Да

Да

Edge for MacOS

Да

Да

Mozilla Firefox

Да

Нет

* –  Apple ID не поддерживает режим беспарольной аутентификации.

** – требуется задать PIN-код перед аутентификацией. Как это сделать.

Android (10 и выше)

Браузер

Двухфакторная аутентификация*

Однофакторная аутентификация

Google Chrome 105+

Да

Нет

Mozilla Firefox 91+

Да

Нет

Samsung Internet browser 21+

Да

Нет

Яндекс Браузер 23.5+

Нет**

Нет

*  – на ОС Android Рутокен MFA работает по протоколу CTAP1 (U2F). Протокол не поддерживает однофакторную аутентификацию.

** – поддержка будет добавлена в будущих версиях браузера.

iOS * (14.5 и выше**)

Браузер

Двухфакторная аутентификация

Однофакторная аутентификация***

Safari

Да

Да

Яндекс Браузер 23.5

Да

Да

* –  Apple ID не поддерживает режим беспарольной аутентификации.

** – для подключения Рутокена MFA к телефону потребуется переходник Lighting-to-USB Type-C.
*** –  требуется задать PIN-код Рутокена MFA перед аутентификацией.

iPadOS * (14.5 и выше**)

Client

Двухфакторная аутентификация

Однофакторная аутентификация***

Safari Browser

Да

Да

Yandex Browser 23.5

Да

Да

* –  Apple ID не поддерживает режим беспарольной аутентификации.

** –  работает на устройствах с интерфейсом USB Type-C (iPad Mini 6, iPad 11 Pro и т.д.).
*** –  требуется задать PIN-код Рутокена MFA перед аутентификацией.

Возможные особенности работы с Рутокен MFA в разных системах и браузерах

Особенности работы браузера Mozilla Firefox

Для всех операционных систем необходимо настроить параметры браузера для корректной работы с устройствами Рутокен MFA. Если браузер не настроен, Рутокен MFA работать не будет.

Чтобы настроить браузер:

  1. Откройте браузер Mozilla Firefox.
  2. Введите about:config в адресную строку.
  3. Нажмите Принять риск и продолжить.
  4. Нажмите Показать все.
  5. В открывшемся списке найдите параметры
    1. security.webauth.ctap2,
    2. security.webauth.webauthn.

      Для быстрого поиска воспользуйтесь комбинацией клавиш Ctrl + F.
  6. Убедитесь, что напротив указанных параметров стоит true.

В системах GNU/Linux и браузере Firefox пропадает поддержка Рутокен MFA после обновления браузера.

Чтобы восстановить работу браузера с Рутокен MFA:

  1. Откройте терминал и введите команду:

    sudo nano /etc/udev/rules.d/70-snap.firefoxrutoken.rules
  2. Затем введите строки:

    #Rutoken
    KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="0a89", ATTRS{idProduct}=="0093", TAG+="snap_firefox_firefox"
    TAG=="snap_firefox_firefox", RUN+="/usr/lib/snapd/snap-device-helper $env{ACTION} snap_firefox_firefox $devpath $major:$minor"
    
    #Rutoken
    KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="0a89", ATTRS{idProduct}=="0093", TAG+="snap_firefox_geckodriver"
    TAG=="snap_firefox_geckodriver", RUN+="/usr/lib/snapd/snap-device-helper $env{ACTION} snap_firefox_geckodriver $devpath $major:$minor"
  3. Переподключите Рутокен MFA.
  4. Перезапустите браузер и проверьте работу.

Браузер Mozilla Firefox в системах GNU/Linux некорректно обрабатывает процессы аутентификации пользователя, если такие операции происходят одновременно в двух сервисах (например, в двух вкладках).

Чтобы процесс прошел корректно, рекомендуем работать с устройствами Рутокен MFA одномоментно в одном веб-сервисе.


Особенности работы браузера Safari

Браузер Safari в macOS некорректно обрабатывает процессы аутентификации пользователя, если такие операции происходят одновременно в двух сервисах (например, в двух вкладках).

Чтобы процесс прошел корректно, рекомендуем работать с устройствами Рутокен MFA одномоментно в одном веб-сервисе.

Особенности работы Рутокен MFA в системах GNU/Linux

В некоторых версиях систем GNU/Linux отсутствует поддержка Рутокен MFA по умолчанию. 

Чтобы Рутокен MFA мог работать в системах GNU/Linux:

  1. Откройте терминал и введите команду:

    sudo nano /lib/udev/rules.d/70-u2f.rules
  2. Затем введите строки:

    #Rutoken
    KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="0a89", ATTRS{idProduct}=="0093", TAG+="uaccess"
  3. Сохраните файл. Для этого нажмите Ctrl + O или F3.

  4. Переподключите Рутокен MFA.
  5. Перезапустите браузер и проверьте работу.

После выполненных действий Рутокен MFA должен корректно работать в системах GNU/Linux.

Управление Рутокен MFA

Управлять устройством Рутокен MFA можно в операционных системах Windows, macOS и GNU/Linux.

Рутокен MFA поддерживает следующие сервисные операции:

  • задание PIN-кода устройства,
  • изменение заданного PIN-кода устройства,
  • сброс устройства (в случае блокировки).

Особенности политики PIN-кода:

  • PIN-код по умолчанию не задан,
  • заданный PIN-код можно изменить, но нельзя удалить без сброса устройства,
  • длина PIN-кода должна составлять от 4 до 63 символов,
  • если PIN-код введен неправильно 8 раз подряд, Рутокен блокируется. Потребуется сброс устройства.

Управление Рутокен MFA в ОС Windows

Управление Рутокен MFA в ОС Windows осуществляется при помощи приложения Windows Hello.

Задание PIN-кода Рутокена

Чтобы задать PIN-код Рутокена:

  1. Нажмите Пуск → Параметры
  2. Перейдите в раздел Учетные записи → Варианты входа → Ключ безопасности.
  3. Нажмите Управление.
  4. Следуйте инструкциям в системном окне и в нужный момент коснитесь корпуса Рутокена.
  5. В разделе ПИН-код для ключа безопасности нажмите Добавить.
  6. Введите новый PIN-код дважды.
  7. Нажмите ОК.

PIN-код Рутокена будет задан.

Изменение PIN-кода Рутокена

Чтобы изменить PIN-код Рутокена:

  1. Нажмите Пуск → Параметры
  2. Перейдите в раздел Учетные записи → Варианты входа → Ключ безопасности.
  3. Нажмите Управление.
  4. Следуйте инструкциям в системном окне и коснитесь корпуса Рутокена.
  5. В разделе ПИН-код для ключа безопасности нажмите Изменить.
  6. Введите текущий PIN-код.
  7. Введите новый PIN-код дважды
  8. Нажмите ОК.

PIN-код Рутокена будет изменен.

Сброс Рутокена

Сброс Рутокена необходим в случае блокировки устройства. При сбросе Рутокена стираются все учетные данные без возможности восстановления. 

Чтобы сбросить Рутокен: 

  1. Нажмите Пуск → Параметры
  2. Перейдите в раздел Учетные записи → Варианты входа → Ключ безопасности.
  3. Нажмите Управление.
  4. Следуйте инструкциям в системном окне и в нужный момент коснитесь корпуса Рутокена.
  5. В разделе Сброс ключа безопасности нажмите Сбросить.
  6. Нажмите Продолжить.
  7. Следуйте инструкциям в системном окне: вставьте Рутокен еще раз и в нужный момент коснитесь его корпуса дважды.
    Отобразится сообщение "Сброс выполнен".
  8. Нажмите Готово.

Сброс Рутокена будет выполнен.

Управление Рутокен MFA в macOS и системах GNU/Linux

Управление Рутокен MFA в macOS и GNU/Linux осуществляется через браузер Google Chrome.

Управление Рутокен MFA в macOS и системах GNU/Linux не отличается.

Задание PIN-кода Рутокена 

Чтобы задать PIN-код Рутокена: 

  1. Откройте браузер Google Chrome.
  2. Нажмите и перейдите в раздел Настройки.
  3. Перейдите в раздел Безопасность и Конфиденциальность → Безопасность → Настройки электронных ключей.
  4. Нажмите Создайте PIN-код.
  5. Следуйте инструкциям в системном окне: вставьте Рутокен и в нужный момент коснитесь его корпуса.
  6. Введите новый PIN-код дважды.
  7. Нажмите Сохранить.
  8. Нажмите ОК.

PIN-код Рутокена будет задан.

Изменение PIN-кода Рутокена 

Чтобы изменить PIN-код Рутокена: 

  1. Откройте браузер Google Chrome.
  2. Нажмите и перейдите в раздел Настройки.
  3. Перейдите в раздел Безопасность и Конфиденциальность → Безопасность → Настройки электронных ключей.
  4. Нажмите Создайте PIN-код.
  5. Следуйте инструкциям в системном окне: вставьте Рутокен и в нужный момент коснитесь его.
  6. Введите текущий PIN-код.
  7. Введите новый PIN-код дважды.
  8. Нажмите Сохранить.
  9. Нажмите ОК.

PIN-код Рутокена будет изменен.

Сброс Рутокена

Сброс Рутокена осуществляется в случае блокировки устройства. При сбросе Рутокена стираются все учетные данные без возможности восстановления. 

Чтобы сбросить Рутокен: 

  1. Откройте браузер Google Chrome.
  2. Нажмите и перейдите в раздел Настройки.
  3. Перейдите в раздел Безопасность и Конфиденциальность → Безопасность → Настройки электронных ключей.
  4. Нажмите Сбросьте настройки электронного ключа.
  5. Следуйте инструкциям в системном окне: вставьте Рутокен и в нужный момент коснитесь его.
    Отобразится сообщение "Настройки электронного ключа сброшены".
  6. Нажмите ОК.

Сброс Рутокена будет выполнен.

Аутентификация с Рутокен MFA

Виды аутентификации

С устройствами Рутокен MFA возможны два вида аутентификации:

  • двухфакторная. Осуществляется по технологии FIDO2, требует ввод логина, пароля и PIN-кода Рутокена. 
  • однофакторная. Осуществляется по технологии FIDO2 без необходимости ввода логина и пароля, то есть вход в учетную запись осуществляется только при помощи Рутокен MFA и его PIN-кода.

Настройка аутентификации с Рутокен MFA в веб-сервисах

Для учетной записи mail.ru

Добавление Рутокен MFA в учетную запись mail.ru

При добавлении Рутокена MFA не закрывайте вкладку или браузер до окончания процесса.

Чтобы настроить вход в учетную запись mail.ru:

  1. Войдите в учетную запись mail.ru.
  2. Нажмите на фотографию профиля в правом верхнем углу.
  3. Перейдите в раздел Пароли и безопасность → Безопасность → Электронные ключи.
  4. Нажмите Добавить.
  5. Нажмите Добавить внешнее устройство.
  6. Нажмите Добавить.
  7. Следуйте инструкциям в системных окнах: 
    1. введите PIN-код Рутокена,
    2. в нужный момент коснитесь его корпуса.
  8. Введите имя ключа.
  9. Нажмите Сохранить.
  10. Нажмите Завершить.

Электронный ключ Рутокен MFA будет добавлен в учетную запись mail.ru.

Добавьте резервный ключ

Чтобы не потерять доступ к учетной записи в случае утери или порчи Рутокен MFA, рекомендуем добавить не один, а два электронных ключа к учетной записи: один основной, второй – резервный.
Использование основного и резервного электронного ключа – наиболее безопасная практика при использовании FIDO2-совместимых устройств.


Аутентификация с Рутокен MFA в учетную запись mail.ru

Войти в учетную запись mail.ru, используя электронный ключ Рутокен MFA, можно только в том случае, если в учетную запись ранее был добавлен электронный ключ. Как добавить электронный ключ.

Чтобы войти в учетную запись mail.ru:

  1. Откройте сервис mail.ru.
  2. Нажмите Войти.
  3. Введите Имя аккаунта.
  4. Нажмите Ввести пароль.
  5. Следуйте инструкциям в системных окнах: 
    1. введите PIN-код Рутокена,
    2. в нужный момент коснитесь его корпуса.

Вход в учетную запись mail.ru с помощью электронного ключа Рутокен MFA будет осуществлен.

Для учетной записи vk.ru

Добавление Рутокен MFA в учетную запись vk.ru

При добавлении Рутокена MFA не закрывайте вкладку или браузер до окончания процесса.

Чтобы настроить вход в учетную запись vk.ru:

  1. Войдите в учетную запись vk.ru.
  2. Нажмите на фотографию профиля в правом верхнем углу.
  3. Перейдите в раздел Настройки → Безопасность.
  4. В разделе Способы входа найдите строку OnePass и нажмите Подключить.
  5. Нажмите Добавить.
    Сервис VK ID отправит СМС с кодом для подтверждения действия.
  6. Введите код из СМС.
  7. Следуйте инструкциям в системных окнах:
    1. введите PIN-код Рутокена,
    2. в нужный момент коснитесь его корпуса.
  8. Нажмите Отлично.

Электронный ключ Рутокен MFA будет добавлен в учетную запись vk.ru.

Добавьте резервный ключ

Чтобы не потерять доступ к учетной записи в случае утери или порчи Рутокен MFA, рекомендуем добавить не один, а два электронных ключа к учетной записи: один основной, второй – резервный.
Использование основного и резервного электронного ключа – наиболее безопасная практика при использовании FIDO2-совместимых устройств.

Аутентификация с Рутокен MFA в учетную запись vk.ru

Войти в учетную запись vk.ru, используя электронный ключ Рутокен MFA, можно только в том случае, если в учетную запись ранее был добавлен электронный ключ. Как добавить электронный ключ.

Чтобы войти в учетную запись с Рутокен MFA:

  1. Откройте сервис vk.ru.
  2. Введите данные учетной записи: телефон или электронную почту.
  3. Нажмите Войти.
  4. Следуйте инструкциям в системных окнах:
    1. введите PIN-код Рутокена,
    2. в нужный момент коснитесь его корпуса.

Вход в учетную запись vk.ru с помощью электронного ключа Рутокен MFA будет осуществлен.

Настройка аутентификации с Рутокен MFA в операционных системах

Для систем GNU/Linux

Рутокен MFA позволяет аутентифицировать пользователя при входе в ОС GNU/Linux в следующих сценариях:

  • локальная аутентификация пользователя в ОС с использованием Рутокен MFA с нажатием кнопки в качестве второго фактора;
  • локальная аутентификация пользователя в ОС с использованием Рутокен MFA с вводом PIN-кода и нажатием кнопки;
  • доступ к хостам по SSH с использованием Рутокен MFA с нажатием кнопки в качестве второго фактора.

Аутентификации в GNU/Linux системы подробно описана в инструкциях: 

Настройка аутентификации с Рутокен MFA для OpenSSH

Без PIN-кодом: Настройка OpenSSH доступа по Рутокен MFA

С PIN-кодом: Настройка OpenSSH доступа по Рутокен MFA с доступом по PIN-коду

  • No labels