¿Es una buena idea confiar en Uif de Mifare por razones de seguridad / autorización?

6

Varios sistemas se basan en el uso de UID de la tarjeta inteligente para la identificación / autorización. Por ejemplo, la base de datos almacena la lista de UID de tarjetas inteligentes y las correspondientes privilegios.

Dado que hoy existen tarjetas donde puede escribir cualquier UID que desee y, por lo tanto, emular el UID clásico de Mifare, por ejemplo, ¿cuáles son las prácticas? de usar la tarjeta inteligente UID para la autorización?

En otras palabras, el temor es si utilizo el UID Mifare Classic para la autorización, alguien puede comprar alguna tarjeta china, donde puede asignar cualquier UID Usted desea, y por lo tanto el titular de dicha tarjeta, puede hacerse pasar por el titular original. de mi clásico Mifare.

¿Hay maneras de superar esto? ¿Cómo (o lo hace) la gente usa el UID de la tarjeta inteligente para su autorización?

    
pregunta 23.04.2014 - 13:36
fuente

3 respuestas

5

El Mifare Classic se rompió hace varios años (se rompió su cifrado débil, oscuro y propietario) y también lo fue el Mifare DESfire v1. Debe confiar en algoritmos más fuertes (preferiblemente los más fuertes) y también tener un sistema de monitoreo que detecte un comportamiento anormal para detectar la clonación o la manipulación. Solo depende del nivel de seguridad que necesites.

Tenemos en el trabajo un sistema de pago RFID para las máquinas de café. La configuración de un biométrico + código + escrutinio de la red en esas tarjetas sería una exageración. Ya que confían en Mifare classic, es posible con el dispositivo Proxmark (yo personalmente nunca lo probé, pero otros sí lo hicieron, simplemente programaron la cantidad de dinero en la tarjeta y obtuvieron café ilimitado). Pero el dispositivo Proxmark cuesta alrededor de 300 $, por lo que no es rentable si no eres un adicto al café (y es moralmente incorrecto, pero perfectamente factible).

Pero si está hablando de autorización de acceso, esta tarjeta es un gran no-no. (Podría usar Mifare DESfire v2 si desea permanecer con Mifare por ejemplo, pero nuevamente, busque el nivel de seguridad que ofrece cada una, y si se ajusta a sus necesidades).

  

"No recomendamos el uso de Mifare Classic para nuevas instalaciones. Estamos trabajando con los clientes para revisar su seguridad".   fuente: enlace

editar: Para tener una visión más amplia de los riesgos que enfrenta al utilizar un sistema de autorización RFID, consulte enlace , en "2.1.1. Tipología de riesgos", podrá confrontar este conocimiento con las soluciones de seguridad que proponen los proveedores.

    
respondido por el zX8iqV 19.05.2014 - 13:37
fuente
2

En general, siempre es una mala idea confiar en un solo mecanismo de autenticación. Consulte la defensa en profundidad para eso. Una contraseña biométrica + tarjeta inteligente, o tarjeta inteligente + o 2FA similar sería apropiada en un entorno que exige una seguridad superior a la media.

En cuanto a las tarjetas RFID, corríjame si me equivoco, pero MiFare es un fabricante de más de una solución de "tarjeta inteligente" basada en RFID. Y aunque es cierto que algunas de sus tarjetas, como MiFare Classic, son fácilmente vulnerables a la clonación, los PoC de algunos de sus otros productos son más difíciles de implementar.

En segundo lugar, la clonación se basa en poder tener las manos en la tarjeta original. La seguridad física debe estar presente para dificultar esto (carteras a prueba de RFID, etc.).

Las tarjetas basadas en RFID se están utilizando actualmente en la industria de tarjetas de pago, redes públicas ferroviarias, oficinas corporativas con bajos índices de criminalidad informados públicamente, lo que me lleva a creer que, para la mayoría de las aplicaciones actuales, las ganancias superan los riesgos de seguridad. >

El seguimiento de tarjetas es una política interesante en la que al monitorear la última ubicación utilizada de una tarjeta, se pueden detectar anomalías en un sistema central. Por ejemplo, en lugares donde las personas usan su tarjeta dos veces para deslizar a otra persona, una política de seguimiento de tarjetas puede alertar a la seguridad para que investigue. Dependiendo de la criticidad de los activos garantizados, se puede adoptar una política adecuada de detección o prevención de intrusiones.

Consideraciones de seguridad:

  • Elija una solución rfid que sea más difícil de clonar.
  • Capacitación de empleados.
  • Uso de manguitos de bloqueo RFID.
  • Seguimiento de tarjetas
  • Use 2FA, en lugar de confiar únicamente en la tarjeta inteligente.
respondido por el Rohan Durve 19.05.2014 - 13:16
fuente
0

no es, simplemente dijo, ninguna codificación es a prueba de balas, ninguna UID es "impersonalizable" o como sea que se llame, falsifique UID, direcciones MAC o cualquier cosa con un número, es plausible, la otra más difícil que la otra.

así que sí, a largo plazo, puede emular el ID

    
respondido por el Lighty 23.04.2014 - 14:23
fuente

Lea otras preguntas en las etiquetas