Рутокен MFA — линейка токенов для аутентификации в веб-сервисах, работающих по протоколу FIDO2 (CTAP2). Устройства линейки Рутокен MFA выступают в качестве единого средства защиты учетных записей веб-сервисов с использованием двухфакторной аутентификации.
В данной инструкции представлена информация о линейке устройств Рутокен MFA. В ней описаны процедуры управления устройством (задание и изменение PIN-кода, сброс устройства), а также авторизация в веб-сервисах и операционных системах.
Линейка продуктов
Устройства линейки Рутокен MFA оснащены сенсорной кнопкой и световой индикацией. Сенсорная кнопка на корпусе используется для подтверждения физического присутствия пользователя.
Линейка продуктов Рутокен MFA состоит из двух продуктов:
Рутокен MFA C,
Рутокен MFA micro,
Рутокен MFA C Nano.
Название устройства
Внешний вид
Интерфейс
Размер и масса
Серийный номер
Рутокен MFA С
USB Type-C
29,5x13x6 мм
3 гр
указан на боковой грани корпуса
Рутокен MFA micro
micro USB Type-A
7,8х15,4х5,8 мм
1,6 гр
указан на металлической части разъема
Рутокен MFA C Nano
USB Type-C
11х16х8 мм
1,5 гр
указан на металлической части разъема
Ключевые характеристики линейки
Все устройства линейки поддерживают:
протокол FIDO2 (реализована последняя версия протокола FIDO_2_1 или CTAP2.1. Спецификация);
Аутентификация с устройствами Рутокен MFA осуществляется по стандарту FIDO2.
Стандартобеспечивает высокий уровень безопасности, поскольку основан на криптографии с открытым ключом.
Рутокен MFA позволяет хранить резидентные учетные данные.Поскольку эти учетные данные могут содержать имя пользователя и другие данные, это обеспечивает качественную однофракторную аутентификацию на сайтах и в приложениях, поддерживающих протокол WebAuthn.
алгоритм электронной подписи ES256 (ECC P256);
протокол U2F (CTAP 1.2);
однофакторную аутентификацию в 16 аккаунтах одним токеном.
Поддерживаемые сервисы и операционные системы
Веб-сервисы
Устройства Рутокен MFA позволяют быстро и безопасно защитить аккаунты в веб-сервисах, поддерживающих спецификацию WebAuthn:
* – для работы браузера Firefox требуется настройка параметров конфигурации браузера. Как это сделать.
MacOS * (10.4 и выше):
Браузер
Двухфакторная аутентификация
Однофакторная аутентификация
Safari
Да
Да **
Google Chrome
Да
Да
Edge for MacOS
Да
Да
Mozilla Firefox
Да
Нет
* – Apple ID не поддерживает режим беспарольной аутентификации.
** – требуется задать PIN-код перед аутентификацией. Как это сделать.
Android (10 и выше)
Браузер
Двухфакторная аутентификация*
Однофакторная аутентификация
Google Chrome 105+
Да
Нет
Mozilla Firefox 91+
Да
Нет
Samsung Internet browser 21+
Да
Нет
Яндекс Браузер 23.5+
Нет**
Нет
* – на ОС Android Рутокен MFA работает по протоколу CTAP1 (U2F). Протокол не поддерживает однофакторную аутентификацию.
** – поддержка будет добавлена в будущих версиях браузера.
iOS * (14.5 и выше**)
Браузер
Двухфакторная аутентификация
Однофакторная аутентификация***
Safari
Да
Да
Яндекс Браузер 23.5
Да
Да
* – Apple ID не поддерживает режим беспарольной аутентификации.
** – для подключения Рутокена MFA к телефону потребуется переходник Lighting-to-USB Type-C. *** – требуется задать PIN-код Рутокена MFA перед аутентификацией.
iPadOS * (14.5 и выше**)
Client
Двухфакторная аутентификация
Однофакторная аутентификация***
Safari Browser
Да
Да
Yandex Browser 23.5
Да
Да
* – Apple ID не поддерживает режим беспарольной аутентификации.
** – работает на устройствах с интерфейсом USB Type-C (iPad Mini 6, iPad 11 Pro и т.д.). *** – требуется задать PIN-код Рутокена MFA перед аутентификацией.
Возможные особенности работы с Рутокен MFA в разных системах и браузерах
Особенности работы браузера Mozilla Firefox
Для всех операционных систем необходимо настроить параметры браузера для корректной работы с устройствами Рутокен MFA. Если браузер не настроен, Рутокен MFA работать не будет.
Чтобы настроить браузер:
Откройте браузер Mozilla Firefox.
Введите about:config в адресную строку.
Нажмите Принять риск и продолжить.
Нажмите Показать все.
В открывшемся списке найдите параметры
security.webauth.ctap2,
security.webauth.webauthn.
Для быстрого поиска воспользуйтесь комбинацией клавиш Ctrl + F.
Убедитесь, что напротив указанных параметров стоит true.
В системах GNU/Linux и браузере Firefox пропадает поддержка Рутокен MFA после обновления браузера.
Браузер Mozilla Firefox в системах GNU/Linux некорректно обрабатывает процессы аутентификации пользователя, если такие операции происходят одновременно в двух сервисах (например, в двух вкладках).
Чтобы процесс прошел корректно, рекомендуем работать с устройствами Рутокен MFA одномоментно в одном веб-сервисе.
Особенности работы браузера Safari
Браузер Safari в macOS некорректно обрабатывает процессы аутентификации пользователя, если такие операции происходят одновременно в двух сервисах (например, в двух вкладках).
Чтобы процесс прошел корректно, рекомендуем работать с устройствами Рутокен MFA одномоментно в одном веб-сервисе.
Особенности работы Рутокен MFA в системах GNU/Linux
В некоторых версиях систем GNU/Linux отсутствует поддержка Рутокен MFA по умолчанию.
Чтобы Рутокен MFA мог работать в системах GNU/Linux:
После выполненных действий Рутокен MFA должен корректно работать в системах GNU/Linux.
Управление Рутокен MFA
Управлять устройством Рутокен MFA можно в операционных системах Windows, macOS и GNU/Linux.
Рутокен MFA поддерживает следующие сервисные операции:
задание PIN-кода устройства,
изменение заданного PIN-кода устройства,
сброс устройства (в случае блокировки).
Особенности политики PIN-кода:
PIN-код по умолчанию не задан,
заданный PIN-код можно изменить, но нельзя удалить без сброса устройства,
длина PIN-кода должна составлять от 4 до 63 символов,
если PIN-код введен неправильно 8 раз подряд, Рутокен блокируется. Потребуется сброс устройства.
Управление Рутокен MFA в ОС Windows
Управление Рутокен MFA в ОС Windows осуществляется при помощи приложения Windows Hello.
Задание PIN-кода Рутокена
Чтобы задать PIN-код Рутокена:
Нажмите Пуск → Параметры.
Перейдите в раздел Учетные записи → Варианты входа → Ключ безопасности.
Нажмите Управление.
Следуйте инструкциям в системном окне и в нужный момент коснитесь корпуса Рутокена.
В разделе ПИН-код для ключа безопасности нажмите Добавить.
Введите новый PIN-код дважды.
Нажмите ОК.
PIN-код Рутокена будет задан.
Изменение PIN-кода Рутокена
Чтобы изменить PIN-код Рутокена:
Нажмите Пуск → Параметры.
Перейдите в раздел Учетные записи → Варианты входа → Ключ безопасности.
Нажмите Управление.
Следуйте инструкциям в системном окне и коснитесь корпуса Рутокена.
В разделе ПИН-код для ключа безопасности нажмите Изменить.
Введите текущий PIN-код.
Введите новый PIN-код дважды
Нажмите ОК.
PIN-код Рутокена будет изменен.
Сброс Рутокена
Сброс Рутокена необходим в случае блокировки устройства. При сбросе Рутокена стираются все учетные данные без возможности восстановления.
Чтобы сбросить Рутокен:
Нажмите Пуск → Параметры.
Перейдите в раздел Учетные записи → Варианты входа → Ключ безопасности.
Нажмите Управление.
Следуйте инструкциям в системном окне и в нужный момент коснитесь корпуса Рутокена.
В разделе Сброс ключа безопасности нажмите Сбросить.
Нажмите Продолжить.
Следуйте инструкциям в системном окне: вставьте Рутокен еще раз и в нужный момент коснитесь его корпуса дважды. Отобразится сообщение "Сброс выполнен".
Нажмите Готово.
Сброс Рутокена будет выполнен.
Управление Рутокен MFA в macOS и системах GNU/Linux
Управление Рутокен MFA в macOS и GNU/Linux осуществляется через браузер Google Chrome.
Управление Рутокен MFA в macOS и системах GNU/Linux не отличается.
Задание PIN-кода Рутокена
Чтобы задать PIN-код Рутокена:
Откройте браузер Google Chrome.
Нажмите и перейдите в раздел Настройки.
Перейдите в раздел Безопасность и Конфиденциальность→ Безопасность → Настройки электронных ключей.
Нажмите Создайте PIN-код.
Следуйте инструкциям в системном окне: вставьте Рутокен и в нужный момент коснитесь его корпуса.
Введите новый PIN-код дважды.
Нажмите Сохранить.
Нажмите ОК.
PIN-код Рутокена будет задан.
Изменение PIN-кода Рутокена
Чтобы изменить PIN-код Рутокена:
Откройте браузер Google Chrome.
Нажмите и перейдите в раздел Настройки.
Перейдите в раздел Безопасность и Конфиденциальность→ Безопасность → Настройки электронных ключей.
Нажмите Создайте PIN-код.
Следуйте инструкциям в системном окне: вставьте Рутокен и в нужный момент коснитесь его.
Введите текущий PIN-код.
Введите новый PIN-код дважды.
Нажмите Сохранить.
Нажмите ОК.
PIN-код Рутокена будет изменен.
Сброс Рутокена
Сброс Рутокена осуществляется в случае блокировки устройства. При сбросе Рутокена стираются все учетные данные без возможности восстановления.
Чтобы сбросить Рутокен:
Откройте браузер Google Chrome.
Нажмите и перейдите в раздел Настройки.
Перейдите в раздел Безопасность и Конфиденциальность→ Безопасность → Настройки электронных ключей.
Нажмите Сбросьте настройки электронного ключа.
Следуйте инструкциям в системном окне: вставьте Рутокен и в нужный момент коснитесь его. Отобразится сообщение "Настройки электронного ключа сброшены".
Нажмите ОК.
Сброс Рутокена будет выполнен.
Аутентификация с Рутокен MFA
Виды аутентификации
С устройствами Рутокен MFA возможны два вида аутентификации:
двухфакторная. Осуществляется по технологии FIDO2, требует ввод логина, пароля и PIN-кода Рутокена.
однофакторная. Осуществляется по технологии FIDO2 без необходимости ввода логина и пароля, то есть вход в учетную запись осуществляется только при помощи Рутокен MFA и его PIN-кода.
Настройка аутентификации с Рутокен MFA в веб-сервисах
Нажмите на фотографию профиля в правом верхнем углу.
Перейдите в раздел Пароли и безопасность → Безопасность → Электронные ключи.
Нажмите Добавить.
Нажмите Добавить внешнее устройство.
Нажмите Добавить.
Следуйте инструкциям в системных окнах:
введите PIN-код Рутокена,
в нужный момент коснитесь его корпуса.
Введите имя ключа.
Нажмите Сохранить.
Нажмите Завершить.
Электронный ключ Рутокен MFA будет добавлен в учетную запись mail.ru.
Добавьте резервный ключ
Чтобы не потерять доступ к учетной записи в случае утери или порчи Рутокен MFA, рекомендуем добавить не один, а два электронных ключа к учетной записи: один основной, второй – резервный. Использование основного и резервного электронного ключа – наиболее безопасная практика при использовании FIDO2-совместимых устройств.
Аутентификация с Рутокен MFA в учетную запись mail.ru
Войти в учетную запись mail.ru, используя электронный ключ Рутокен MFA, можно только в том случае, если в учетную запись ранее был добавлен электронный ключ. Как добавить электронный ключ.
Нажмите на фотографию профиля в правом верхнем углу.
Перейдите в раздел Настройки → Безопасность.
В разделе Способы входа найдите строку OnePass и нажмите Подключить.
Нажмите Добавить. Сервис VK ID отправит СМС с кодом для подтверждения действия.
Введите код из СМС.
Следуйте инструкциям в системных окнах:
введите PIN-код Рутокена,
в нужный момент коснитесь его корпуса.
Нажмите Отлично.
Электронный ключ Рутокен MFA будет добавлен в учетную записьvk.ru.
Добавьте резервный ключ
Чтобы не потерять доступ к учетной записи в случае утери или порчи Рутокен MFA, рекомендуем добавить не один, а два электронных ключа к учетной записи: один основной, второй – резервный. Использование основного и резервного электронного ключа – наиболее безопасная практика при использовании FIDO2-совместимых устройств.
Аутентификация с Рутокен MFA в учетную запись vk.ru
Войти в учетную запись vk.ru, используя электронный ключ Рутокен MFA, можно только в том случае, если в учетную запись ранее был добавлен электронный ключ. Как добавить электронный ключ.