一些系统依赖于使用智能卡的 UID 进行识别/授权。例如,数据库存储智能卡 UID 列表和相应的权限。
鉴于今天存在您可以编写任何您想要的 UID 并因此模拟 Mifare 经典 UID 的卡,那么使用智能卡 UID 进行授权的做法是什么?
换句话说,担心如果我使用 Mifare Classic UID 进行授权,有人可能会购买一些中国卡,您可以在其中分配您想要的任何 UID - 因此此类卡的持有人可以冒充我的 Mifare Classic 的原始持有人。
有没有办法克服这个问题?人们如何(或根本不这样做?)使用智能卡 UID 进行授权?
Mifare Classic 几年前就被破解了(它们的弱、晦涩和专有的加密被破解了),Mifare DESfire v1 也是如此。您应该依赖更强大的算法(优先开放强算法),并且还应该有一个监控系统来检测异常行为以检测克隆或篡改。这仅取决于您需要的安全级别。
我们有一个用于咖啡机的 RFID 支付系统。在这些卡上设置生物特征+代码+网络审查将是矫枉过正。由于他们依赖 Mifare classic,因此可以使用 Proxmark 设备(我个人从未测试过,但其他人做过,只是谷歌克隆 mifare classic proxmark)在卡上设置任何金额并获得无限量的咖啡。但是 Proxmark 设备的成本约为 300 美元,因此如果您不是咖啡瘾君子,它并不划算(这在道德上是错误的,但完全可行)。
但如果你在谈论访问授权,这张卡是一个很大的禁忌。(例如,如果您想继续使用 Mifare,您可以使用 Mifare DESfire v2,但同样,请查看每个提供的安全级别,以及它是否符合您的需求)。
“我们不建议在新安装中使用 Mifare Classic。我们正在与客户一起审查他们的安全性。” 来源:http: //news.bbc.co.uk/2/hi/programmes/click_online/7655292.stm
编辑:要更广泛地了解使用 RFID 授权系统所面临的风险,请查看http://www.oecd.org/sti/ieconomy/40892347.pdf,位于“2.1.1. 风险类型”,您将能够通过供应商提出的安全解决方案来面对这些知识。
依赖任何单一的身份验证机制通常总是一个坏主意。请参阅深度防御。生物识别 + 智能卡,或智能卡 + 密码或类似的 2FA 将适用于要求高于平均安全性的环境。
至于 RFID 卡,如果我弄错了,请纠正我,但 MiFare 是一家以上基于 RFID 的“智能卡”解决方案的制造商。尽管他们的某些卡(例如 MiFare Classic)确实很容易被克隆,但他们的一些其他产品的 PoC 更难以实施。
其次,克隆依赖于能够拿到原始卡。物理安全应该到位以使这变得困难(RFID证明钱包等)。
基于 RFID 的卡目前用于支付卡行业、公共铁路网络、公开报告的犯罪率较低的公司办公室,这使我相信对于大多数当前应用而言,利润超过了安全风险。
卡跟踪是一项有趣的策略,通过监控卡的最后使用位置,可以在中央系统中检测到异常。例如,在人们使用他们的卡两次刷另一个人的地方,卡跟踪策略可以提醒安全人员进行调查。根据受保护资产的重要性,可以采用适当的入侵检测或预防策略。
安全注意事项:
它不是,简单地说,没有编码是防弹的,没有 UID 是“不可模仿的”,或者无论如何它被称为欺骗 UID、MAC 地址或任何带有数字的东西,都是合理的,另一个比另一个更难。
所以是的,从长远来看,您可以模拟 ID