¿Son las claves o etiquetas RFID soluciones de control de acceso más seguras?

TL; DR: Los bloqueos físicos son más simples y, por lo tanto, menos propensos a fallar. Las tarjetas de proximidad (por ejemplo, RFID) son superiores en todos los demás aspectos.

Escoger un bloqueo
 es un ataque de canal lateral que otorga acceso a una persona que no necesita haber encontrado un token de acceso válido (en este caso, una clave). Es rápido, altamente efectivo y no deja registros de auditoría (aparte de los rasguños, quizás). Casi todos los bloqueos son vulnerables a la extracción hasta cierto punto.
Selección de una estación RFID
 sería un ataque de canal lateral similar contra el hardware de la estación o contra el protocolo subyacente. No existe tal ataque generalizado, pero pueden ser posibles ataques especializados contra hardware específico.

Clonando una clave física
requiere solo una fotografía de la llave y el hardware de corte de llave apropiado. El hardware producido comercialmente para hacer esto está disponible a un costo mínimo, o puede hacerlo manualmente usando un archivo y una regla decente. La distancia a la que puede clonar una clave es ilimitada por motivos prácticos y solo requiere línea de visión. Si existe o no una resolución suficiente para hacer esto desde el espacio no se revela públicamente, pero puede ser una posibilidad. Una clave clonada puede hacerse indistinguible de un original. En algunos casos, también es posible usar las propiedades físicas del bloqueo para crear una clave de trabajo (sin ver nunca otra clave "real"). Cada clave puede ser clonada. Sin excepción.
Clonar un token RFID
requiere un dispositivo para leer y reproducir la señal RFID, como el Proxmark3. Este es un dispositivo especializado que está fácilmente disponible pero que no se posee ampliamente. Los tokens de desafío-respuesta de mayor seguridad no pueden clonarse leyendo su señal. Parada completa

Revocación de acceso para una clave física
implica volver a teclear todos los bloqueos para que la clave revocada ya no funcione. Simplemente devolver la clave es insuficiente, ya que las claves son triviales de clonar ... incluso si dicen "no duplicar".
Revocación de acceso para una clave RFID
implica decirle al sistema que deje de confiar en la clave revocada. No es necesario seguir trabajando.

Vista conceptual: hay autenticación y hay autorización ; Estas son actividades distintas. La autenticación se trata de asegurarse de con quién está hablando; la autorización se trata de decidir qué se le permite hacer a una persona. Realmente quieres mantenerlos separados .

Las etiquetas RFID implementan la autenticación: a través de la conversación electrónica entre la etiqueta y el lector, el lector determina la identidad de la etiqueta, de modo que (presumiblemente) la identidad del titular de la etiqueta. La autorización es realizada por el lector, que se puede vincular con algún servidor de autorización central. Por otro lado, con una clave, la autenticación y la autorización se combinan en el mismo dispositivo: tener la clave en la mano otorga automáticamente el acceso.

La necesidad de separación de autenticación y autorización se hace más visible cuando desea revocar un acceso. Con las etiquetas RFID, eso es fácil: simplemente active un indicador en la base de datos del servidor de autorización. Con las claves, no puede hacer eso: para revocar un acceso, debe recuperar la propia clave (y no puede hacerlo si el motivo de la revocación fue que la clave se perdió o fue robada), o cambiar el bloqueo (y eso es costoso). , no solo para el bloqueo en sí, sino porque debe distribuir un nuevo conjunto de claves a los otros usuarios). De manera similar, con las etiquetas RFID puede imponer un control de acceso basado en el tiempo (acceso otorgado solo en algún momento del día), y no puede hacerlo con las claves.

Otra buena propiedad de las etiquetas RFID es clonación selectiva . Cuando se debe otorgar acceso a un nuevo empleado, es fácil para el administrador del sistema emitir una nueva etiqueta para él; pero a los propios usuarios les resultará difícil clonar su etiqueta (las buenas etiquetas son como tarjetas inteligentes : son resistentes a la manipulación indebida). Esto significa que la administración de la autorización queda en manos de los administradores de sistemas. Con las claves, no es posible duplicar ninguna de ellas, en cuyo caso es difícil otorgar acceso a nuevos usuarios o se pueden duplicar las claves puede , en cuyo caso es difícil evitar la clonación fraudulenta por parte de los usuarios existentes.

Resumen: Las etiquetas RFID son superiores a las claves porque permiten un control de acceso detallado, con revocación inmediata y autorización y administración centralizadas.

El punto más destacado que haría que las claves sean preferibles a las etiquetas RFID, en algunos contextos específicos. Es que las llaves no necesitan estar encendidas. Un candado que se ha bloqueado, permanece bloqueado incluso después de un apagón prolongado. Sin embargo, en la mayoría de los casos, las etiquetas RFID son mejores.

A favor de los bloqueos mecánicos es que son baratos y simples (y por lo tanto menos propensos a romperse).

(Incluso si implementa un sistema RFID sofisticado, apuesto a que también tiene un bloqueo mecánico puesto que no cuesta casi nada y le ofrece un repliegue en caso de que falle el control de acceso).

Sin embargo, en la mayoría de los entornos de alta seguridad es probable que desee algún tipo de control de acceso electrónico, no solo para el registro, sino para que pueda cancelar el acceso de forma remota. p.ej. Si Fred pierde su etiqueta RFID, o si Barney abandona la empresa, un cambio en la base de datos y las tres etiquetas dejan de funcionar.

(Tres no era un error tipográfico: estaba incluyendo al clon que Betty hizo de la etiqueta de Barney que ninguno de ustedes conocía. ¡Esa Betty!)

Como con toda la seguridad de las cosas, depende de los resultados de su análisis de riesgo. Hace poco fui con una cerradura mecánica en una nueva puerta a un área segura porque cuando ejecuté el análisis, simplemente no valía la pena.

De acuerdo con la mayoría de lo que dijo Tom Leek, pero hay algunas cosas adicionales a considerar.

Las etiquetas RFID pueden ser más fáciles (y más rápidas) de clonar que las claves físicas. La señal entre RFID y el lector está en el éter donde alguien puede capturar esa señal y reproducirla, ya sea con un pequeño lector colocado al lado del lector real o algo con una antena.

Para obtener una copia de su clave, tendrían que obtener acceso físico o posiblemente una fotografía de la clave. Una vez que tuvieran eso, tendrían que cortar una copia de la clave.