Vulnerabilidades de las tarjetas inteligentes RFID

3

Recientemente, mi organización desea pasar al sistema de tarjetas inteligentes en lugar de a una contraseña estática. Queremos trasladar toda la infraestructura al sistema de tarjetas inteligentes. Estamos buscando una única tarjeta inteligente que proporcione acceso físico y lógico. Y también quería usar la misma tarjeta inteligente para estacionar, vender sin efectivo, etc. (Con Javacard podemos escribir aplicaciones personalizadas y leer desde la tarjeta inteligente). Todo esto está bien. Pero la pregunta surgió al seleccionar la tarjeta inteligente. Ya sea para seleccionar la tarjeta inteligente sin contacto o la tarjeta inteligente RFID.

La tarjeta RFID tendrá el rango de detección de la tarjeta más que una tarjeta inteligente sin contacto (alrededor de 10 CM). Es por eso que todos querían mudarse a las tarjetas RFID. Pero las tarjetas tendrán la mayor parte de la información sensible. He leído tantos artículos que dicen las desventajas de las tarjetas RFID y las lagunas de seguridad al usar tarjetas RFID. Pero no estoy seguro de ninguno de esos.

¿Alguien puede explicar en detalle las ventajas y desventajas de estas tarjetas (tarjetas sin contacto frente a las tarjetas RFID)?

    
pregunta Dungeon Hunter 25.08.2011 - 09:24
fuente

3 respuestas

7

Lea la pregunta Cómo ingresar a la auditoría de RFID ya que hay algunos enlaces muy útiles allí.

Las tarjetas sin contacto y las tarjetas RFID son solo un pequeño núcleo informático con una funcionalidad limitada y un transceptor de radio que no solo alimenta la tarjeta cuando hay una señal de radio, sino que también recibe y transmite datos dentro de un rango pequeño.

La diferencia habitual es que la RFID se usa generalmente para referirse a una tarjeta que se identificará cuando se le solicite, mientras que el término de la Tarjeta sin contacto generalmente se refiere a una RFID con algún almacenamiento a bordo para pequeños pagos sin tener que insertar una tarjeta en un o escriba un pin, por ejemplo, tarjetas Oyster para pagos de viaje en el metro de Londres.

Los riesgos en torno a la clonación se ven mitigados en gran medida por el motor criptográfico en la tarjeta, y el equipo de Ross Anderson en Cambridge sigue encontrando nuevos ataques en el laboratorio , pero el riesgo clave sobre las tarjetas que deben insertarse es que un atacante solo necesita estar en la proximidad general, y no necesita robar el Carta, reduciendo la dificultad de ataque. El rango, aunque se supone que es muy corto, puede incrementarse por los atacantes que usan equipos de mayor potencia y antenas de mayor ganancia.

La nueva ola de funciones de la Tarjeta sin contacto, que permite los pagos con tarjeta de crédito / débito, solo extiende este riesgo un poco más al aumentar la cantidad de fondos a los que se puede acceder.

    
respondido por el Rory Alsop 25.08.2011 - 09:53
fuente
2

Hay un charla sobre biométrica y RFID que tiene una discusión de algunos de los problemas con las tarjetas RFID, incluidos los mecanismos de seguridad débiles / rotos, los mecanismos de seguridad que no están (es decir, que el proveedor afirma que están presentes pero que no lo están), y el hecho de que la interfaz sin contacto introduce nuevos métodos de Ataque que no está presente en las tarjetas de contacto.

En general, sin embargo, depende de para qué los quieras usar. Las tarjetas sin contacto, como la biométrica, son principalmente por conveniencia y no por seguridad.

    
respondido por el Dave 30.08.2011 - 17:21
fuente
2

Por lo general, para los sistemas de estacionamiento y de venta sin efectivo, los fondos reales residen en un servidor o en una base de datos de almacenamiento de TI y simplemente hacen referencia al saldo de dinero en una cuenta que está vinculada al número de la tarjeta, de esta manera si una tarjeta se pierde o es robada. la tarjeta puede simplemente retirarse y bloquearse y emitirse una tarjeta de reemplazo que luego se conectará a la cuenta monetaria existente en lugar de tener fondos físicos almacenados en las tarjetas.

Las áreas de alto riesgo deben protegerse con autenticación de múltiples factores, ya sea una tarjeta RFID / sin contacto para identificarse con el número de huella digital / PIN u otro mecanismo secundario para verificar que la persona que intenta ingresar es el propietario legítimo de la tarjeta.

Con cualquier tipo de método de identificación física, los procedimientos relacionados con la emisión y gestión de tarjetas son más críticos que la tecnología, ya que, en general, los ataques son oportunistas o por medio de lagunas como las tarjetas desactivadas incorrectamente.

Trabajo para un fabricante de control de acceso, también nos integramos con un dispositivo de red de seguridad lógica para evitar que las personas inicien sesión en una PC o servidor en el edificio a menos que hayan usado el sistema de control de acceso para ingresar al edificio, sin embargo, esto solo es efectivo si existen métodos como anti-pass back y barreras físicas de un solo giro para obligar a todos a presentar una tarjeta para entrar / salir del edificio.

    
respondido por el Ross Bale 15.02.2012 - 16:09
fuente

Lea otras preguntas en las etiquetas