¿Hay tarjetas de identificación que no se puedan fotografiar pero que se puedan escanear?

50

Tenemos un cliente que organiza un evento, con un presupuesto ajustado, que utiliza tarjetas de identificación con foto con código de barras. Los códigos de barras se utilizan para obtener acceso a varias áreas del evento.

Estábamos pensando en proponer un código de hash (actualmente las ID son secuenciales), pero luego ocurrió que es bastante fácil "deslizar" una tarjeta con fotografía de alta resolución, y luego superponer el código de barras existente con una copia impresa del golpe.

Teniendo en cuenta que estamos utilizando los escáneres ean13, y realmente hay un presupuesto ajustado (por lo que la NFC está fuera por el momento): una superposición, como el celofán rojo, serviría para cualquier propósito en la mitigación de este tipo específico de ataque ?

    
pregunta Konchog 28.11.2018 - 08:20
fuente

21 respuesta

76

Respuesta simple: No

Si puedes verlo, puedes fotografiarlo.

Ha habido innumerables intentos a lo largo de los años para resolver esta parte de DRM y todos han fallado.

En lugar de centrarse en el código de barras, ¿ha considerado dificultar la copia de la tarjeta de identificación? ¿Para que la seguridad de cada área pueda verificar rápidamente que no es una superposición? Por ejemplo, un holograma sobre el código de barras que el escáner ignora pero que un humano puede verificar, o una tarjeta de plástico de alta calidad con el código de barras en el recubrimiento coloreado, un guardia puede detectar una superposición falsa.

    
respondido por el Rory Alsop 28.11.2018 - 09:02
fuente
52

La respuesta simple es sí. Desafortunadamente, creo que podría estar luchando para hacerlo con un presupuesto ajustado, los códigos de barras pueden imprimirse utilizando tintas que solo son visibles bajo la luz UV / IR, por lo que no son visibles a simple vista y no se pueden replicar sin un equipo especializado y tintas.

Lamentablemente, los escáneres que pueden leer estos códigos no son barato y tampoco la tinta así que a menos que vayas para tener más de un par de miles de asistentes, la ruta NFC va a ser más barata. Y como la pregunta indica que esto no es algo que pienses que pagarán, por lo que probablemente coloca las soluciones de código de barras "no fotografiables" fuera de tu rango de precios.

    
respondido por el motosubatsu 28.11.2018 - 12:18
fuente
28

Si bien un simple celofán rojo hace poco para ocultar el código de barras, puede aplicar varios colores para ocultar el código de barras del ojo humano. Si el escáner de código de barras solo utiliza una única longitud de onda (como el rojo), verá los colores de manera diferente a los humanos o las cámaras a color.

Esto sería más difícil de fotografiar e imprimir con éxito, ya que las cámaras e impresoras desenfocarán los colores con mayor facilidad que lo que desenfocaría una imagen en blanco y negro. Además, puedes experimentar haciendo que el primer plano y el fondo sean un tipo de patrón aleatorio, de modo que no sea obvio que sea un código de barras en absoluto.

Por ejemplo, reemplaza negro con azul y verde, y blanco con rojo y naranja:

Paraunescánerdecódigodebarrasdeluzroja,estodeberíaaparecercomouncódigodebarrasnormalenblancoynegro.Peroesperoqueseamásdifícilcopiarlocorrectamente.

Antecedentesteóricos:Elojohumanoesmássensiblealasvariacionesdebrilloymenossensiblealasvariacionesdecolor.Lamayoríadenuestrosequipos,comocámaras,impresorasyformatosdeimagenreflejanesto,ymétodoscomo Submuestreo de croma y filtro de Bayer son de uso común. Pero un escáner a una única longitud de onda es completamente insensible a las variaciones de brillo en otros colores y muy sensible a las variaciones de color que afectan la cantidad de rojo en el color.

Por lo tanto, el patrón debe diseñarse de modo que tenga una gran variación de brillo para dificultar la copia, manteniendo el brillo visto por el escáner. Una forma de hacer esto en los editores de imágenes es separar los canales rojo / verde / azul y solo editar los canales verde y azul.

    
respondido por el jpa 28.11.2018 - 14:41
fuente
23

La solución más barata para su situación en este caso es utilizar el guardia de seguridad humano para hacer la verificación de fotografías. Use la etiqueta de código de barras para buscar rápidamente el registro del usuario en la base de datos del participante, la base de datos debe almacenar la foto del participante y el guardia debe verificar que el participante que se presentó coincida con la foto en la base de datos.

En este caso, el código de barras no debe considerarse parte de la seguridad, es solo una forma rápida de buscar registros de la base de datos, por lo que no importa si se copia. La verdadera seguridad proviene de la foto de emparejamiento. Obviamente, en este caso, realmente no se puede hacer cumplir la seguridad en los puntos de escaneo automático, que es la principal debilidad.

    
respondido por el Lie Ryan 28.11.2018 - 11:58
fuente
17

No puedes, porque tanto un humano como un escáner de código de barras deben poder verlo todo, también lo pueden hacer una cámara y una copiadora.

Un código de barras no es diferente de imprimir una cadena de texto, excepto que una máquina puede leerlo más rápido. En cuanto a la seguridad, no agrega protección.

Es posible que este problema no sea parte del modelo de amenaza. ¿Lo has comprobado?

    
respondido por el John Keates 28.11.2018 - 10:42
fuente
15

¿Es NFC realmente demasiado caro? Encontré un paquete de 50 calcomanías MiFARE NFC por $ 13.20, lo que las hace < $ 0.27 por asistente; si planea tener 500 asistentes, eso es $ 132 que realmente no es mucho en el esquema de un evento atendido de esa escala. Si puede administrar el swing de $ 0,89 por asistente, puede obtener tarjetas MiFARE imprimibles por inyección de tinta, guardando el paso de la impresión y aplicando una etiqueta por separado (aunque tendría que tener una impresora de ruta plana de papel para que las tarjetas puedan alimentado a través de).

Dado que NFC no se puede fotografiar, no se puede duplicar fácilmente, pero cualquier smartphone y una variedad de otros dispositivos pueden leer las etiquetas y, a menudo, son menos delicadas. Por ejemplo, si el distintivo está en un soporte de plástico, un escáner de código de barras podría captar demasiada luz ambiental reflejada para poder leer el código de barras, y la persona tendría que inclinarlo de esta manera (deteniéndose un poco cada vez para dé tiempo al foco para que el escáner se enfoque, esperando reducir el brillo suficiente para que el escáner lea el código; con NFC, solo presionando la tarjeta contra el lector y tal vez moviéndola un poco hasta que llegue al punto ideal. Para la 10ª o 15ª exploración, la persona de seguridad debería tener una buena idea de dónde está el punto óptimo y poder escanear casi instantáneamente de ahí en adelante.

EDIT1: incluso las etiquetas NFC no criptográficas, básicas y baratas, programadas con números de identificación simples son más difíciles de duplicar: es necesario tener acceso cercano a una etiqueta (generalmente menos de un pie). Esto los hace significativamente más difíciles de clonar que un código de barras que puede ser capturado por una cámara decente a varios pies de distancia o al otro lado de la habitación o con una buena cámara réflex digital y zoom. El rango de lectura óptimo en los chips NFC se basa en el radio de la antena de bucle del chip: el radio dividido por ~ 1.414. En una tarjeta NFC de 2 "x3.5" el radio no puede ser más de 1 pulgada (2.54 cm) ya que la antena del bucle no puede tener más de 2 pulgadas de diámetro, lo que nos da un rango de lectura "óptimo" de poco menos 2 cm (menos de una pulgada). Incluso con un lector poderoso, dudo seriamente que puedas leer las etiquetas a distancias mayores que un pie.

EDIT2: como @Falco señaló en los comentarios a continuación, si imprime un código de barras en la placa también, un potencial que nunca haga ni siquiera se dará cuenta de que hay una etiqueta NFC e intenta simplemente clonar el código de barras. ... pero, por supuesto, su credencial falsificada no se escanearía con NFC, exponiéndola como una falsificación.

    
respondido por el Doktor J 28.11.2018 - 22:31
fuente
11

No estoy seguro de cómo planea llevar las tarjetas de identificación, ya sea que cuelguen directamente del cordón con un simple orificio perforado a través de la tarjeta o si en un portador o billetera de plástico colgado del cordón.

Si utiliza el estilo de billetera transparente del portaequipajes, se podría imprimir algo o aplicar una etiqueta adhesiva en el exterior que cubre el área del código de barras, pero dejando la foto y otra información de identificación visible para los lectores humanos, asegúrese de que esto esté en ambos lados si existe en el caso de que la tarjeta se coloque en el portador invertido. Esto significaría que una foto de "manejando" de alguien no revelaría el código de barras en absoluto. La tarjeta tendría que ser removida, o movida dentro del portador, para escanear el código de barras sin embargo.

Si utiliza un portador de plástico más importante, imprima el código de barras en el reverso de la tarjeta para asegurarse de que esté oculto mientras está en el portador.

    
respondido por el GeeTee 28.11.2018 - 14:59
fuente
5

Una cosa que podría hacer que ha sido un elemento básico de la lucha contra la falsificación durante milenios es introducir una falla deliberada en su código de barras que haga que lea, por ejemplo, los últimos dos caracteres "incorrectamente". Haz que parezca un error de impresión accidental de la tarjeta.

Luego, le indica a su escáner / software que ignore el error y le pase los datos de todos modos, dejando de lado los bits no válidos.

Alguien que falsifique tarjetas asumirá que su fotografía era imperfecta o que recibió una tarjeta manchada y corrige manualmente el "error".

Su software puede notar que se le está enviando el código "esta tarjeta es una falsificación" y seguridad de alerta.

Este no es el mejor mecanismo de seguridad ya que depende de que un atacante no sepa lo que estás haciendo y no solo copie ciegamente la tarjeta sin comprobar que se imprimió correctamente.

Combina esto con algún tipo de marca de agua. Ya sea una marca de agua literal si está utilizando una tarjeta de papel, o diga que estampa todas las tarjetas con un código adicional que solo aparece bajo luz UV.

Si imprime en un código QR, la construcción de un escáner que consiste en una caja con una ranura en la parte frontal que contiene una cámara y una lámpara UV sería el trabajo de una tarde. Llévelo al programa de lectura QR que prefiera. Mientras logres mantener en secreto la presencia de la marca de agua, debería ser casi imposible que alguien pueda falsificar una tarjeta.

    
respondido por el Perkins 28.11.2018 - 20:05
fuente
5

Sí, hay una manera de hacerlo *

Use materiales fluorescentes para el código de barras en sí mismo, lo que hace que la duplicación no se pueda realizar mediante una fotografía sin arruinar la "invisibilidad" del duplicado, que distingue las falsificaciones. Las tarjetas de identificación modernas utilizan esto.

* Esto solo funciona para tarjetas de policarbonato, no PVC. Desafortunadamente, es posible que esto no se ajuste al presupuesto de su cliente.

    
respondido por el Expectator 28.11.2018 - 20:10
fuente
4

¿Qué tal si la primera vez que un ser humano los escanea en la puerta, la persona de seguridad (es decir, el escáner) verifica la foto para asegurarse de que coincida con la persona con la insignia? Si coincide, la persona de seguridad se pone una de esas pulseras tyvek económicas de un color específico. Estos se utilizan a menudo en parques de atracciones, juegos de pelota, etc. para indicar niveles de acceso específicos, requisitos de edad, etc. Esto evitaría que al menos personas no autorizadas ingresen a su sede en primer lugar.

Estas pulseras son de un solo uso, y son muy difíciles de quitarse y ponerse otra persona sin darse cuenta de que se las han quitado. Si mantiene en secreto el "color de la pulsera del día", o obtiene algunos hechos especialmente con un color o colores específicos, entonces deben estar bastante seguros de copiarlos. También creo que estos son típicamente bastante baratos en volumen.

Aunque en general, si la seguridad es tan importante en este evento, entonces se le debería haber asignado fondos suficientes para respaldar su importancia y valor.

    
respondido por el Milwrdfan 28.11.2018 - 16:35
fuente
4

Sé que llego tarde al juego, pero aquí tengo dos sugerencias:

1) Haga que el código de barras sea realmente pequeño, lo suficientemente grande como para ser recogido por un escáner de códigos de barras. Esto hace que sea difícil (pero no imposible) realizar copias utilizables con una cámara sin que sea obvio que está intentando hacerlo.

2) Divida el código de barras en dos pares (por ejemplo, cada otra barra) e imprima una mitad en la tarjeta de identificación, y la otra mitad en una superposición transparente. Luego, tendrá que alinear manualmente las dos mitades para hacer Un código de barras útil. Esto hace que su uso sea más tedioso, pero hace que sea poco probable que las partes se alineen mientras cuelgan de la cuerda de seguridad (especialmente si hace la parte transparente con un balance diferente).

Por supuesto, puedes combinar los dos enfoques.

    
respondido por el KlaymenDK 29.11.2018 - 09:20
fuente
3

Solución fácil: imprima el código de barras en el cordón y no en la placa.

Todos pueden imprimir una identificación con foto hecha de papel con un código de barras. Es bastante complicado imprimir un código de barras en un cordón con su equipo de impresión doméstico.

Si su PhotoID se ve así:

Esmuydifícilparaunguardiasabersiestecódigodebarrasesrealmenteválidoosimplementeunaversiónimpresaypegadaenlaversióndelcódigodebarras.Siasueventoasistenmásde300personas,resultamuytediosocomprobarestascosas.Cuantomásgrandeseaelcódigodebarras,mejor.SiplaneautilizarunPhotoIDhechodepapel,seráimposiblesabersiunaimpresiónesrealofalsa.
Sielcódigodebarrasestáenelcordón,esextremadamentefácilparalosguardiassabersiestoesfalsooreal.Perotengaencuentaqueestonoesdeningunamaneraunmétodoapruebadefallos.Realmenteesuncontrolde"no nos queda más dinero" y no es algo en lo que deba confiar.

    
respondido por el Tom K. 28.11.2018 - 13:47
fuente
3

Si bien no es una solución completa al problema, puede hacer la vida un poco más difícil si incluye EURion Constellation en su tarjetas Esto se puede utilizar junto con otros enfoques.

  

La constelación de EURion es un patrón de símbolos incorporados en varios diseños de billetes en todo el mundo desde 1996. ... [Se trata de un patrón de cinco círculos pequeños de color amarillo, verde o naranja, que se repite en todas las áreas del billete de banco. En diferentes orientaciones. La mera presencia de cinco de estos círculos en una página es suficiente para que algunas fotocopiadoras en color rechacen el procesamiento.

    
respondido por el Tyzoid 29.11.2018 - 05:36
fuente
3

Si bien puede ser sencillo tomar una foto de un lado, es mucho más difícil capturar ambos lados en un ataque casual. Puedes hacer varias cosas para desarrollar esa idea, dependiendo del evento.

  • Códigos de barras únicos en cada lado, el asistente coloca la tarjeta entre dos lectores
  • Código de barras en un lado, información humana verificable en el otro. Comparado manualmente contra la cuenta.

O podrías agregar un segundo factor. Envíe al participante un SMS de registro cuando escanee por primera vez, que capture su baliza con el wifi local y luego podrá hacer verificaciones de aproximación cada vez que escaneen en el futuro. Si su teléfono no está donde debería estar, bloquee el acceso y envíe otro enlace SMS. Podrías tener dos factores, pero probablemente querrías que una aplicación te proporcione una notificación más rápida.

O simplemente puede ocultar el código de barras por completo. Tu idea fue celofán rojo ... ¿Por qué no solo una cubierta de apagón? Esto podría ser tan sucio como un postit o alguna cinta adhesiva de alta adherencia, o tan bonito como una funda que solo oculta el código de barras.

    
respondido por el Oli 29.11.2018 - 11:43
fuente
2

Como se indica en otros comentarios, no está claro cuáles son las amenazas a las que se enfrenta. Si está puramente preocupado por las personas que fotografían la identificación, simplemente haga algo para que el estado físico natural del pase oscurezca el código de barras. Por ejemplo, puede distribuir los pases doblados por la mitad (el cordón puede ayudar a mantenerlo por la mitad) y el código de barras puede estar en el interior. Cuando la gente va a escanearlos, puede hacer que la seguridad "despliegue" el pase para revelar el código de barras. O puede hacer que las personas usen tarjetas de identificación pero que lleven una tarjeta con código de barras en sus bolsillos para ingresar.

    
respondido por el BobtheMagicMoose 28.11.2018 - 21:46
fuente
2

Teóricamente puedes imprimir en algo polarizado. Luego verlo con luz polarizada o a través de un filtro polarizado. Aunque no necesariamente barato.

Es de suponer que puedes elegir polarización lineal o circular para evitar cualquier filtro que pueda estar en una cámara común.

    
respondido por el Smegger 29.11.2018 - 02:34
fuente
2

Estrictamente hablando, no hay. Si el escáner puede leerlo, puede grabarse y reproducirse. Pero eso no cuenta toda la historia.

Aunque las cámaras y las pantallas / impresoras en estos días son bastante universales, no pueden capturar y reproducir todos los colores. En realidad, hay colores que el ojo humano puede ver, pero que son difíciles de captar en la cámara, mostrar en pantalla o imprimir en papel:

Algunos ejemplos simples incluyen colores fluorescentes, fluorescencia real activada por un cierto color de luz emitida por el escáner (por ejemplo, las plantas verdes brillan en naranja bajo luz UV), colores no visibles como UV o infrarrojos. También puede ir por el camino inverso e incluir características que normalmente son visibles pero invisibles para su escáner, por ejemplo, tal vez parte del código de barras se encuentra entre hojas de papel y se vuelve transparente de forma adecuada solo debajo del escáner. Muchos billetes incorporan medidas de seguridad basadas en la transparencia, tintes especiales y papel, elementos brillantes / hologramados, etc.

Esto no significa que su tarjeta no se pueda fotografiar, ya que obviamente su escáner puede detectarla: un adversario podría construir un dispositivo similar y grabar su tarjeta. Pero sí significa que las cámaras disponibles para el consumidor no podrán hacerlo, por lo que el adversario tendrá que obtener un equipo especializado (que tal vez ni siquiera sea legal comprar) o incluso construir su propio dispositivo. Del mismo modo, la reproducción también será un desafío. Si usa un color fuera del espacio CMYK, no pueden imprimirlo, y si está fuera de RGB, la pantalla de su teléfono no lo mostrará. Nuevamente, pueden obtener o hacer pantallas / documentos especializados que puede hacerlo (después de todo, quien hizo sus tarjetas de identificación legítimas pudo) pero será más difícil. Sin mencionar que será más fácil para los agentes de la ley encontrarlos, porque no muchas personas tendrían un equipo tan especializado sin una buena razón.

Realmente, la solución ideal aquí es utilizar chips RFID con cifrado. Pocas personas tienen las habilidades técnicas para reproducirlas, e incluso si las tienen, no podrán encontrar fácilmente la clave de cifrado en el chip. Como una opción de menor costo, las tarjetas magnéticas deberían ser más baratas, se pueden clonar fácilmente pero requieren equipo. La solución de control de acceso físico probada por el tiempo es, por supuesto, una clave simple (tampoco es tan fácil de copiar). O simplemente puede olvidarlo todo e ir con contraseñas memorizadas.

Si realmente tiene que usar los escáneres, buscaría tinta fluorescente o imprimiría un material que no se ve bien a excepción de una longitud de onda específica (que probablemente proporcionaría el escáner. Pero es difícil ser más Preciso sin saber qué es tu escáner.

    
respondido por el Artimithe55 30.11.2018 - 00:05
fuente
1

Si puede asegurarse de que todos los códigos de barras se impriman exactamente en el mismo lugar, puede modificar la ranura del lector de códigos de barras para colocar la identificación exactamente con algo que cubra los bordes. Entonces, si alguien intenta imprimir una foto pero está ligeramente descentrada, no se leerá el código de barras.

Sin embargo, sugeriría que la recepción no tenga tal cosa, y solo las que tienen datos confidenciales. De esta manera, un "tramposo" se pone a pensar que funcionó, y luego se queda atrapado adentro cuando trata de pasar a través de áreas restringidas. Dependiendo de la persona, sería riesgoso salir e intentar arreglarlo y revelar su intención. Si se le bloquea antes de ingresar al "área común", es posible que tengan la oportunidad de arreglarlo y volver a intentarlo con otra persona.

    
respondido por el Moacir 28.11.2018 - 14:17
fuente
0

Creo que estás demasiado enfocado en copiar el código de barras. La forma correcta de hacer esto es emitir una identificación única para cada persona que visita y hacer un seguimiento de esa identificación, registrándola (y posiblemente fuera) de los diferentes lugares. Si una identificación ya está dentro de un lugar, se prohibirá la entrada. Todavía existe la posibilidad de que un visitante obtenga una entrada con un código de barras copiado antes del propietario de la ID legítima. Pero en tal caso, el propietario legítimo podría probar que él es el propietario legítimo de la identificación por medio de algún tipo de recibo. Luego, puede invalidar esa ID en la computadora, bloqueando así las asistencias adicionales del formulario de ID copiado.
¿Pero vale la pena el esfuerzo? ¿Qué daño hacen unos pocos visitantes injustos? La mejor medida de seguridad podría ser simplemente decirle a la gente que existe una medida de seguridad para prevenir el fraude. "Tenga en cuenta que mantendremos un registro de las identificaciones emitidas y, en caso de que encontremos que alguien ha ganado una entrada injustificada, haremos que nuestros guardias de seguridad se encarguen de él hasta que llegue la policía" o similar. .. :-)

    
respondido por el Roland Giersig 29.11.2018 - 13:33
fuente
0

Si la protección de los puntos de acceso supervisados por guardias es suficiente, ¿qué hay de la autenticación de dos factores a bajo costo? Junto con la tarjeta de identificación, entregue una ficha de plástico, un chip de casino, un patito de goma u otra baratija que no puedan obtenerse rápidamente por los posibles activistas.

Debería tener un agujero u otra forma de sujetarlo a la cuerda de seguridad, de lo contrario, la gente perderá o "perderá" la derecha y la izquierda.

    
respondido por el alexis 30.11.2018 - 14:29
fuente
0

En realidad no es TAN fácil de fotografiar sin que al menos el usuario lo note si el código de barras es lo suficientemente pequeño (piense en la altura de las letras 8pt o 6pt ...)

Supongamos que estamos hablando de cámaras de teléfonos móviles de mano aquí, no de teléfonos de gama alta (doble lente), teleconvertidores con clip, cámaras de grado profesional / entusiasta, zoom óptico, procesamiento RAW o trípodes involucrados. Alguien que se ofrezca todo lo que pueda molestar, probablemente pueda pagar sus boletos.

Supongamos que la cámara de un teléfono de 12 MP produce una resolución efectiva de 2000 píxeles en el lado más largo de la foto. No 4000, habrá alias o antialización en su camino una vez que intente reproducir fielmente estructuras de menos de 2 píxeles.

En muchos casos, puede volver a reducir a la mitad la resolución efectiva disponible para una reproducción exacta debido a que la imagen se procesa automáticamente por el firmware del teléfono para corregir los defectos de la lente, especialmente en las partes descentradas de la imagen. Los píxeles son eliminados de su raster para hacer eso ....

Supongamos que la lente de la cámara de un teléfono estándar es un gran angular equivalente de 24 mm o 28 mm sin zoom óptico, por lo que el aumento de la ampliación no le dará una resolución adicional.

Si su código de barras necesitara una resolución de 100 píxeles para funcionar, eso significaría que alguien tendría que fotografiarlo de manera que ocupe 1/20 del fotograma, y tendría que hacerlo sin introducir distorsión de perspectiva, sacudidas, otros. errores ...

Un pequeño código de barras de 1 cm de largo simplemente rellenaría 1/100 del ancho del marco ajustado con una lente equivalente de 28 mm desde una distancia de 1 metro ... o 1/50 si alguien se acercara a alguien a media distancia de un metro, Probablemente ser rechazado por invadir.

    
respondido por el rackandboneman 30.11.2018 - 22:18
fuente

Lea otras preguntas en las etiquetas