¿Hay algún beneficio de seguridad al separar un chip RFID de una tarjeta de identificación?

Navega tus respuestas
8

Esto parece ser una pregunta que desdibuja la línea entre la seguridad física y de TI, pero Espero que sea lo suficientemente relevante!

Para cumplir con los estándares PCI , nuestra empresa recientemente cambió de una puerta abierta con un escáner de mano fuera del horario de trabajo a una RFID. + Sistema de identificación de seguridad.

Me acaban de informar hoy (¡no era parte de nuestros procedimientos de capacitación, ¡hurra!) de que mantener el llavero RFID en la misma cuerda / cadena / etc, tal como la identificación de identificación es verboten. Ahora, para mí, esto parece absolutamente inútil y probablemente más peligroso, porque ahora si me roban el fob o la placa de identificación, parece que la suposición razonable sería "Oh, simplemente lo extravié / olvidé / se cayó en mi auto / etc. "

¿Hay alguna razón válida para prohibir la conexión física (por ejemplo, pegarlos en el mismo llavero) el mecanismo de identificación (mi credencial) del mecanismo de autenticación (mi mando)?

    
pregunta Wayne Werner 04.09.2012 - 14:31
fuente

2 respuestas

5

Sí, porque si los tiene juntos y los pierde, cualquiera podría ingresar con sus credenciales. Los guardias de seguridad rara vez hacen coincidir las caras con las tarjetas, lo más probable es que alguien que busque remotamente tenga acceso gratuito.

Aquí hay un escenario: El empleado A se va de vacaciones por 2 semanas. Durante sus bebidas de celebración, deja caer su dongle ID + tag, que también tiene su dispositivo de memoria USB sin cifrar emitido por la empresa, también conectado a. El personaje 1 desagradable toma este combo práctico, y al ver que su amigo, el personaje 2 desagradable, se parece mucho a este idiota borracho, y al escuchar que se va a ir por 2 semanas, decide dárselo a UC2, quien lo usa para robar todo tipo de propiedad de la empresa. Es por eso que tener a los dos juntos es una muy mala idea.

    
respondido por el GdD 04.09.2012 - 14:55
fuente
3

Suena como si ellos mismos lo estuvieran haciendo mal. Para el cumplimiento de PCI es probable que deban instalarse en un sistema de autenticación de dos factores. La idea con la autenticación de dos factores es que debe utilizar 2 de los 3 factores básicos. (Quién eres, qué sabes, qué tienes). La idea es que si bien puede ser fácil obtener cualquiera de estas cosas, es más difícil obtener dos de tres y demasiado intensivo para tres de tres.

En la tarjeta de identificación + RFID, en realidad son solo dos de las que tienes, particularmente si no hay guardias. Sin algún mecanismo para verificar realmente a) la validez de la insignia yb) la concordancia biométrica (por lo general, ambas son realizadas por un guardia bien entrenado o un equipo biométrico automático que verifica una base de datos), entonces simplemente se convierte en dos elementos de lo que tienes. Tener dos del mismo tipo de factor hace muy poco para proporcionar seguridad adicional, ya que ambos podrían verse comprometidos de la misma manera. Todavía los necesita con usted y sería una simple cuestión de un atraco para obtener ambos.

De hecho, la sola idea de que no quieren la tarjeta de identificación y la RFID juntas indican que son conscientes de que realmente son dos las cosas que tienes, ya que si fuera quién eres o lo que sabes, entonces habrá no hay riesgo de pérdida de token y de identificación.

    
respondido por el AJ Henderson 04.09.2012 - 19:48
fuente

Lea otras preguntas en las etiquetas

¿Contra qué ataques evita una política de W ^ X? ¿Cuáles son las implicaciones de seguridad de los túneles SSH?