Общая информация
Рутокен MFA — линейка токенов для аутентификации в веб-сервисах, работающих по протоколу FIDO2 (CTAP2). Устройства линейки Рутокен MFA выступают в качестве единого средства защиты учетных записей веб-сервисов с использованием двухфакторной аутентификации.
В данной инструкции представлена информация о линейке устройств Рутокен MFA. В ней описаны процедуры управления устройством (задание и изменение PIN-кода, сброс устройства), а также авторизация в веб-сервисах и операционных системах.
Линейка продуктов
Устройства линейки Рутокен MFA оснащены сенсорной кнопкой и световой индикацией. Сенсорная кнопка на корпусе используется для подтверждения физического присутствия пользователя.
Линейка продуктов Рутокен MFA состоит из двух продуктов:
- Рутокен MFA C,
- Рутокен MFA micro.
Название устройства | Внешний вид | Интерфейс | Размер и масса | Серийный номер |
---|
Рутокен MFA С | | USB Type-C | | указан на боковой грани корпуса
|
Рутокен MFA micro | | micro USB Type-A | | указан на металлической части разъема |
Все устройства линейки поддерживают: протокол FIDO2 (реализована последняя версия протокола FIDO_2_1 или CTAP2.1. Спецификация); Аутентификация с устройствами Рутокен MFA осуществляется по стандарту FIDO2. Стандарт обеспечивает высокий уровень безопасности, поскольку основан на криптографии с открытым ключом. Рутокен MFA позволяет хранить резидентные учетные данные. Поскольку эти учетные данные могут содержать имя пользователя и другие данные, это обеспечивает качественную однофракторную аутентификацию на сайтах и в приложениях, поддерживающих протокол WebAuthn. |
алгоритм электронной подписи ES256 (ECC P256); протокол U2F (CTAP 1.2); однофакторную аутентификацию в 16 аккаунтах одним токеном.
|
Поддерживаемые сервисы и операционные системы
Веб-сервисы
Устройства Рутокен MFA позволяют быстро и безопасно защитить аккаунты в веб-сервисах, поддерживающих спецификацию WebAuthn:
Операционные системы и браузеры
Программная поддержка устройств Рутокен MFA реализуется связкой операционной системы и браузера. Поддерживаются десктопные и мобильные ОС:
Windows (10 и выше): Браузер | Двухфакторная аутентификация | Однофакторная аутентификация | Edge MS (Chromium) | Да | Да | Google Chrome | Да | Да | Mozilla Firefox* | Да | Да | Яндекс Браузер | Да | Да |
* – для работы браузера Firefox требуется настройка параметров конфигурации браузера. Как это сделать.
|
Linux (Astra-Linux 1.6/1.7+, Alt-Linux 8/9/10+, РЕД-ОС 7.2/7.3+, Debian 10+, Ubuntu 18+, CentOS 7.8+) Браузер | Двухфакторная аутентификация | Однофакторная аутентификация | Google Chrome | Да | Да | Firefox* | Да | Да (версия 114 или выше) | Яндекс Браузер | Да | Да |
* – для работы браузера Firefox требуется настройка параметров конфигурации браузера. Как это сделать. |
MacOS * (10.4 и выше): Браузер | Двухфакторная аутентификация | Однофакторная аутентификация | Safari | Да | Да ** | Google Chrome | Да | Да | Edge for MacOS | Да | Да | Mozilla Firefox | Да | Нет |
* – Apple ID не поддерживает режим беспарольной аутентификации. ** – требуется задать PIN-код перед аутентификацией. Как это сделать. |
Android (10 и выше) Браузер | Двухфакторная аутентификация* | Однофакторная аутентификация | Google Chrome 105+ | Да | Нет | Mozilla Firefox 91+ | Да | Нет | Samsung Internet browser 21+ | Да | Нет | Яндекс Браузер 23.5+ | Нет** | Нет |
* – на ОС Android Рутокен MFA работает по протоколу CTAP1 (U2F). Протокол не поддерживает однофакторную аутентификацию. ** – поддержка будет добавлена в будущих версиях браузера. |
iOS * (14.5 и выше**) Браузер | Двухфакторная аутентификация | Однофакторная аутентификация*** | Safari | Да | Да | Яндекс Браузер 23.5 | Да | Да |
* – Apple ID не поддерживает режим беспарольной аутентификации. ** – для подключения Рутокена MFA к телефону потребуется переходник Lighting-to-USB Type-C. *** – требуется задать PIN-код Рутокена MFA перед аутентификацией. |
iPadOS * (14.5 и выше**) Client | Двухфакторная аутентификация | Однофакторная аутентификация*** | Safari Browser | Да | Да | Yandex Browser 23.5 | Да | Да |
* – Apple ID не поддерживает режим беспарольной аутентификации. ** – работает на устройствах с интерфейсом USB Type-C (iPad Mini 6, iPad 11 Pro и т.д.). *** – требуется задать PIN-код Рутокена MFA перед аутентификацией. |
Возможные особенности работы с Рутокен MFA в разных системах и браузерах
Особенности работы браузера Mozilla Firefox
Для всех операционных систем необходимо настроить параметры браузера для корректной работы с устройствами Рутокен MFA. Если браузер не настроен, Рутокен MFA работать не будет. Чтобы настроить браузер: - Откройте браузер Mozilla Firefox.
- Введите about:config в адресную строку.
- Нажмите Принять риск и продолжить.
- Нажмите Показать все.
- В открывшемся списке найдите параметры
- security.webauth.ctap2,
security.webauth.webauthn. Для быстрого поиска воспользуйтесь комбинацией клавиш Ctrl + F. |
- Убедитесь, что напротив указанных параметров стоит true.
|
В системах GNU/Linux и браузере Firefox пропадает поддержка Рутокен MFA после обновления браузера. Чтобы восстановить работу браузера с Рутокен MFA: Откройте терминал и введите команду:
sudo nano /etc/udev/rules.d/70-snap.firefoxrutoken.rules |
Затем введите строки:
#Rutoken
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="0a89", ATTRS{idProduct}=="0093", TAG+="snap_firefox_firefox"
TAG=="snap_firefox_firefox", RUN+="/usr/lib/snapd/snap-device-helper $env{ACTION} snap_firefox_firefox $devpath $major:$minor"
#Rutoken
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="0a89", ATTRS{idProduct}=="0093", TAG+="snap_firefox_geckodriver"
TAG=="snap_firefox_geckodriver", RUN+="/usr/lib/snapd/snap-device-helper $env{ACTION} snap_firefox_geckodriver $devpath $major:$minor" |
- Переподключите Рутокен MFA.
- Перезапустите браузер и проверьте работу.
|
Браузер Mozilla Firefox в системах GNU/Linux некорректно обрабатывает процессы аутентификации пользователя, если такие операции происходят одновременно в двух сервисах (например, в двух вкладках). Чтобы процесс прошел корректно, рекомендуем работать с устройствами Рутокен MFA одномоментно в одном веб-сервисе. |
Особенности работы браузера Safari
Браузер Safari в macOS некорректно обрабатывает процессы аутентификации пользователя, если такие операции происходят одновременно в двух сервисах (например, в двух вкладках). Чтобы процесс прошел корректно, рекомендуем работать с устройствами Рутокен MFA одномоментно в одном веб-сервисе. |
Особенности работы Рутокен MFA в системах GNU/Linux
В некоторых версиях систем GNU/Linux отсутствует поддержка Рутокен MFA по умолчанию. Чтобы Рутокен MFA мог работать в системах GNU/Linux: Откройте терминал и введите команду: sudo nano /lib/udev/rules.d/70-u2f.rules |
Затем введите строки:
#Rutoken
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="0a89", ATTRS{idProduct}=="0093", TAG+="uaccess" |
Сохраните файл. Для этого нажмите Ctrl + O или F3. - Переподключите Рутокен MFA.
- Перезапустите браузер и проверьте работу.
После выполненных действий Рутокен MFA должен корректно работать в системах GNU/Linux. |
Управление Рутокен MFA
Управлять устройством Рутокен MFA можно в операционных системах Windows, macOS и GNU/Linux.
Рутокен MFA поддерживает следующие сервисные операции:
- задание PIN-кода устройства,
- изменение заданного PIN-кода устройства,
- сброс устройства (в случае блокировки).
Особенности политики PIN-кода: - PIN-код по умолчанию не задан,
- заданный PIN-код можно изменить, но нельзя удалить без сброса устройства,
- длина PIN-кода должна составлять от 4 до 63 символов,
- если PIN-код введен неправильно 8 раз подряд, Рутокен блокируется. Потребуется сброс устройства.
|
Управление Рутокен MFA в ОС Windows
Управление Рутокен MFA в macOS и системах GNU/Linux
Управление Рутокен MFA в macOS и GNU/Linux осуществляется через браузер Google Chrome. Управление Рутокен MFA в macOS и системах GNU/Linux не отличается. |
Задание PIN-кода Рутокена Чтобы задать PIN-код Рутокена: - Откройте браузер Google Chrome.
- Нажмите и перейдите в раздел Настройки.
- Перейдите в раздел Безопасность и Конфиденциальность → Безопасность → Настройки электронных ключей.
- Нажмите Создайте PIN-код.
- Следуйте инструкциям в системном окне: вставьте Рутокен и в нужный момент коснитесь его корпуса.
- Введите новый PIN-код дважды.
- Нажмите Сохранить.
- Нажмите ОК.
PIN-код Рутокена будет задан. Изменение PIN-кода Рутокена Чтобы изменить PIN-код Рутокена: - Откройте браузер Google Chrome.
- Нажмите и перейдите в раздел Настройки.
- Перейдите в раздел Безопасность и Конфиденциальность → Безопасность → Настройки электронных ключей.
- Нажмите Создайте PIN-код.
- Следуйте инструкциям в системном окне: вставьте Рутокен и в нужный момент коснитесь его.
- Введите текущий PIN-код.
- Введите новый PIN-код дважды.
- Нажмите Сохранить.
- Нажмите ОК.
PIN-код Рутокена будет изменен. Сброс РутокенаСброс Рутокена осуществляется в случае блокировки устройства. При сбросе Рутокена стираются все учетные данные без возможности восстановления. |
Чтобы сбросить Рутокен: - Откройте браузер Google Chrome.
- Нажмите и перейдите в раздел Настройки.
- Перейдите в раздел Безопасность и Конфиденциальность → Безопасность → Настройки электронных ключей.
- Нажмите Сбросьте настройки электронного ключа.
- Следуйте инструкциям в системном окне: вставьте Рутокен и в нужный момент коснитесь его.
Отобразится сообщение "Настройки электронного ключа сброшены". - Нажмите ОК.
Сброс Рутокена будет выполнен. |
Аутентификация с Рутокен MFA
Виды аутентификации
С устройствами Рутокен MFA возможны два вида аутентификации:
- двухфакторная. Осуществляется по технологии FIDO2, требует ввод логина, пароля и PIN-кода Рутокена.
- однофакторная. Осуществляется по технологии FIDO2 без необходимости ввода логина и пароля, то есть вход в учетную запись осуществляется только при помощи Рутокен MFA и его PIN-кода.
Настройка аутентификации с Рутокен MFA в веб-сервисах
Для учетной записи mail.ru
Добавление Рутокен MFA в учетную запись mail.ruПри добавлении Рутокена MFA не закрывайте вкладку или браузер до окончания процесса. |
Чтобы настроить вход в учетную запись mail.ru: - Войдите в учетную запись mail.ru.
- Нажмите на фотографию профиля в правом верхнем углу.
- Перейдите в раздел Пароли и безопасность → Безопасность → Электронные ключи.
- Нажмите Добавить.
- Нажмите Добавить внешнее устройство.
- Нажмите Добавить.
- Следуйте инструкциям в системных окнах:
- введите PIN-код Рутокена,
- в нужный момент коснитесь его корпуса.
- Введите имя ключа.
- Нажмите Сохранить.
- Нажмите Завершить.
Электронный ключ Рутокен MFA будет добавлен в учетную запись mail.ru. Чтобы не потерять доступ к учетной записи в случае утери или порчи Рутокен MFA, рекомендуем добавить не один, а два электронных ключа к учетной записи: один основной, второй – резервный. Использование основного и резервного электронного ключа – наиболее безопасная практика при использовании FIDO2-совместимых устройств. |
Аутентификация с Рутокен MFA в учетную запись mail.ruВойти в учетную запись mail.ru, используя электронный ключ Рутокен MFA, можно только в том случае, если в учетную запись ранее был добавлен электронный ключ. Как добавить электронный ключ. |
Чтобы войти в учетную запись mail.ru: - Откройте сервис mail.ru.
- Нажмите Войти.
- Введите Имя аккаунта.
- Нажмите Ввести пароль.
- Следуйте инструкциям в системных окнах:
- введите PIN-код Рутокена,
- в нужный момент коснитесь его корпуса.
Вход в учетную запись mail.ru с помощью электронного ключа Рутокен MFA будет осуществлен. |
Для учетной записи vk.ru
Добавление Рутокен MFA в учетную запись vk.ruПри добавлении Рутокена MFA не закрывайте вкладку или браузер до окончания процесса. |
Чтобы настроить вход в учетную запись vk.ru: - Войдите в учетную запись vk.ru.
- Нажмите на фотографию профиля в правом верхнем углу.
- Перейдите в раздел Настройки → Безопасность.
- В разделе Способы входа найдите строку OnePass и нажмите Подключить.
- Нажмите Добавить.
Сервис VK ID отправит СМС с кодом для подтверждения действия. - Введите код из СМС.
- Следуйте инструкциям в системных окнах:
- введите PIN-код Рутокена,
- в нужный момент коснитесь его корпуса.
- Нажмите Отлично.
Электронный ключ Рутокен MFA будет добавлен в учетную запись vk.ru. Чтобы не потерять доступ к учетной записи в случае утери или порчи Рутокен MFA, рекомендуем добавить не один, а два электронных ключа к учетной записи: один основной, второй – резервный. Использование основного и резервного электронного ключа – наиболее безопасная практика при использовании FIDO2-совместимых устройств. |
Аутентификация с Рутокен MFA в учетную запись vk.ruВойти в учетную запись vk.ru, используя электронный ключ Рутокен MFA, можно только в том случае, если в учетную запись ранее был добавлен электронный ключ. Как добавить электронный ключ. |
Чтобы войти в учетную запись с Рутокен MFA: - Откройте сервис vk.ru.
- Введите данные учетной записи: телефон или электронную почту.
- Нажмите Войти.
- Следуйте инструкциям в системных окнах:
- введите PIN-код Рутокена,
- в нужный момент коснитесь его корпуса.
Вход в учетную запись vk.ru с помощью электронного ключа Рутокен MFA будет осуществлен. |
Настройка аутентификации с Рутокен MFA в операционных системах
Для систем GNU/Linux
Рутокен MFA позволяет аутентифицировать пользователя при входе в ОС GNU/Linux в следующих сценариях:
- локальная аутентификация пользователя в ОС с использованием Рутокен MFA с нажатием кнопки в качестве второго фактора;
- локальная аутентификация пользователя в ОС с использованием Рутокен MFA с вводом PIN-кода и нажатием кнопки;
- доступ к хостам по SSH с использованием Рутокен MFA с нажатием кнопки в качестве второго фактора.
Аутентификации в GNU/Linux системы подробно описана в инструкциях: