Protocolo de seguridad para calcomanías / tarjetas NFC

Navega tus respuestas
5

Digamos que estoy usando tarjetas NFC para el control de acceso. Las tarjetas / calcomanías NFC son fáciles de leer y escribir, por lo que me preocupa que los datos que contengan puedan clonarse fácilmente en otra tarjeta / calcomanía y evitar la seguridad.

Mi idea para detectar la clonación es incluir 2 piezas de información en cada tarjeta:

  • ID de usuario
  • valor aleatorio

Entonces digamos que sucede lo siguiente:

  1. La tarjeta del usuario A es clonada por el usuario B, por lo que ahora el usuario B también tiene una tarjeta con esos datos
  2. Cuando el usuario A ingresa, se genera un nuevo valor aleatorio y se guarda tanto en la tarjeta como en el servidor. Este valor aleatorio debe presentarse en el siguiente intento de acceso.
  3. El usuario B intenta ingresar con su tarjeta clonada que contiene la "Identificación del usuario" del usuario A, pero tiene un "valor aleatorio" incorrecto, por lo que no puede ingresar.

¿Parece una buena forma de solucionar este problema? ¿Hay otras formas?

    
pregunta zundi 27.06.2015 - 02:26
fuente

1 respuesta

1

El método que usted propone es en realidad lo que utilizan algunos formatos de tarjetas IC, incluido el FeliCa de Sony:

  

La clave de cifrado de FeliCa se genera dinámicamente cada vez que se hace mutua   Se realiza la autenticación, evitando fraudes como la suplantación.   (De Wikipedia )

Esto podría implementarse simplemente mediante el hashing de la ID de la tarjeta (u otros datos únicos) y el último tiempo de autenticación del sistema (en milisegundos provistos por su servidor backend) con un secreto oculto como sal, y escribiéndolo a la tarjeta cada vez se realiza la autentificación. La próxima vez que se usó para la autenticación, el backend recalcaría el ID de tarjeta con el último tiempo de acceso almacenado y se aseguraría de que coincidiera.

Una tarjeta clonada permitiría a un atacante hacerse pasar por el usuario real, pero el fraude se descubriría la próxima vez que el usuario verdadero intentara autenticarse y no tuvo éxito (a menos que el atacante pueda obtener acceso físico repetido a la tarjeta original para clonar la tarjeta actualizada). información de vuelta).

Otras formas de proteger la tarjeta incluyen tarjetas NFC de formato especial que requieren que se envíe primero un código de encriptación antes de que el área de datos se pueda leer / escribir, lo que impide el acceso a la tarjeta sin conocer el código de la tarjeta (no sé si esto cumple o no con la especificación NFC), o requiere múltiples factores para la autenticación (como códigos de acceso, información biométrica, etc.), lo que significaría que un solo factor no sería suficiente para la suplantación.

    
respondido por el Aaron D 02.07.2015 - 16:44
fuente

Lea otras preguntas en las etiquetas

¿Podría un atacante evitar que IIS registre las solicitudes? Limitar el último XSS basado en dom al configurar document.title