问RFID智能卡的漏洞

EN

阅读如何进入射频识别审计问题，因为那里有一些非常有用的链接。

非接触式卡和RFID卡仅仅是一个功能有限的小计算核心，它不仅在无线电信号存在时为卡供电，而且在很小的范围内接收和传输数据。

通常的主要区别是，RFID通常用于指当查询时将标识自己的卡，而非接触式卡术语通常指的是在车载存储一些用于小额支付的RFID，而不必将卡片插入机器或键入别针，例如伦敦地铁上的Oyster卡。

卡上的密码引擎在很大程度上减轻了克隆带来的风险--罗斯·安德森( Ross Anderson)在剑桥的团队继续使用在实验室发现新的攻击，但卡上必须插入的关键风险是，攻击者只需要在一般情况下接近，而不需要窃取卡片，从而降低了攻击的难度。距离，虽然被认为是非常短，但可以增加攻击者使用更高的功率设备和更高的增益天线。

新一波的非接触式卡功能--支持信用卡/借记卡付款--只是通过增加可获得的资金数量来进一步扩大这一风险。

有一个(长时间的) 浅谈生物识别与射频识别技术讨论了射频识别卡的一些问题，包括弱/坏的安全机制、不安全的安全机制(即供应商声称存在但不存在的安全机制)，以及非接触式接口引入了新的攻击方法，而这些攻击方法并不存在于联系人卡中。

总的来说，这取决于您想要使用它们做什么。无触点卡，像生物识别一样，主要是为了方便，而不是为了安全。

通常，对于停车和无现金自动售货机系统，实际资金存放在服务器或信息技术存储数据库中，只需引用与卡号挂钩的账户上的余额，这样，如果一张卡丢失或被盗，就可以直接提取和封存该卡，并签发一张替换卡，然后将其连接到现有的货币账户，而不是将实物资金储存在卡上。

高风险区域应受到多因素认证的保护，无论是使用RFID/非接触式卡来识别指纹/PIN号码，还是使用其他辅助机制来验证试图进入的人是否是该卡的合法所有者。

在任何类型的物理识别方法中，有关发卡和管理的程序都比一般的技术更关键，因为一般情况下，攻击是机会主义的，或者是通过漏洞，如错误地停用卡。

我为一家访问控制制造商工作，我们还集成了一个逻辑安全网络设备，以防止人们登录到大楼中的PC或服务器上，除非他们使用了访问控制系统进入大楼，然而，只有当反回传和物理单转屏障等方法到位时，才能有效地迫使每个人出示一张卡以进出大楼。