Esistono carte d'identità non riproducibili, ma scansionabili?

50

Abbiamo un cliente che ospita un evento, con un budget limitato, che utilizza carte Photo ID con cordini con codici a barre. I codici a barre sono utilizzati per accedere a varie aree dell'evento.

Stavamo pensando di proporre un codice hash (attualmente gli ID sono sequenziali), ma poi è successo che è abbastanza facile "strisciare" una carta con una fotografia ad alta risoluzione, quindi sovrapponi il codice a barre esistente con una stampa dello sfioramento.

Tenendo presente che stiamo usando scanner ean13, e c'è davvero un budget ristretto (quindi NFC è fuori per il momento) - un overlay, come il cellophane rosso, potrebbe servire a mitigare questo specifico tipo di attacco ?

    
posta Konchog 28.11.2018 - 08:20
fonte

21 risposta

76

Risposta semplice: No

Se riesci a vederlo, puoi fotografarlo.

Ci sono stati innumerevoli tentativi nel corso degli anni per risolvere questa parte del DRM e tutti hanno fallito.

Invece di concentrarti sul codice a barre, hai pensato di rendere difficile copiare la carta d'identità stessa? In modo che la sicurezza per ciascuna area possa verificare rapidamente che non si tratta di una sovrapposizione? Ad esempio un ologramma sopra il codice a barre che lo scanner ignora, ma un umano può controllare, o una carta di plastica di alta qualità con il codice a barre nel rivestimento colorato - una guardia può individuare una finta sovrapposizione.

    
risposta data 28.11.2018 - 09:02
fonte
52

La risposta semplice è sì. Sfortunatamente penso che potresti essere in difficoltà a farlo con un budget limitato, i codici a barre possono essere stampati usando inchiostri che sono visibili solo sotto luce UV / IR, quindi non sono visibili ad occhio nudo e non possono essere replicati senza attrezzature specialistiche e inchiostri.

Purtroppo gli scanner in grado di leggere questi codici non sono a buon mercato e nessuno dei due è inchiostro quindi a meno che tu non per avere più di un paio di migliaia di partecipanti la rotta NFC sarà più economica. E come la domanda indica che questo non è qualcosa che pensi che pagheranno per cui probabilmente le soluzioni di codice a barre "unphotographable" non rientrano nella tua fascia di prezzo.

    
risposta data 28.11.2018 - 12:18
fonte
28

Mentre un semplice cellophane rosso fa poco per nascondere il codice a barre, è possibile applicare più colori per nascondere il codice a barre dall'occhio umano. Se lo scanner di codici a barre utilizza solo una singola lunghezza d'onda (come il rosso), vedrà i colori in modo diverso rispetto a una fotocamera umana o a colori.

Questo sarebbe più difficile da fotografare e stampare con successo, perché le fotocamere e le stampanti sfoceranno i colori più facilmente di quanto farebbero per sfocare un'immagine in bianco e nero. Inoltre, potresti sperimentare con il primo piano e lo sfondo una sorta di pattern casuale, in modo che non sia affatto ovvio che si tratti di un codice a barre.

Ad esempio, sostituisci il nero con il blu e il verde e il bianco con il rosso e l'arancione:

Adunoscannerdicodiciabarrealucerossa,questodovrebbeapparirecomeunnormalecodiceabarreinbiancoenero.Mamiaspettochesarebbepiùdifficilecopiareconsuccesso.

Backgroundteorico:l'occhioumanoèpiùsensibileallevariazionidiluminositàemenosensibileallevariazionidicolore.Lamaggiorpartedellenostreapparecchiature,comefotocamere,stampantieformatidiimmaginiriflettonoquesto,emetodicome Chroma subsampling e Il filtro Bayer è di uso comune. Ma uno scanner a un'unica lunghezza d'onda è completamente insensibile alle variazioni di luminosità in altri colori e molto sensibile alle variazioni di colore che influiscono sulla quantità di rosso nel colore.

Quindi il pattern dovrebbe essere progettato in modo che abbia una grande variazione di luminosità per rendere difficile la copia, mantenendo allo stesso tempo la luminosità vista dallo scanner. Un modo per farlo negli editor di immagini è separare i canali rosso / verde / blu e modificare solo i canali verdi e blu.

    
risposta data 28.11.2018 - 14:41
fonte
23

La soluzione più economica per la tua situazione in questo caso è l'utilizzo della guardia di sicurezza umana per fare un controllo fotografico. Usa il tag del codice a barre per cercare rapidamente il record dell'utente dal database del partecipante, il database dovrebbe memorizzare la foto del partecipante e il guardiano dovrebbe verificare che il partecipante che si è presentato corrisponda alla foto sul database.

Il codice a barre in questo caso non deve essere considerato parte della sicurezza, è solo un modo rapido per cercare i record del database, quindi non importa se viene copiato. La vera sicurezza viene dalla corrispondenza delle foto. Ovviamente, in questo caso non è possibile applicare la sicurezza sugli spot di autoanalisi, il che è il principale punto debole.

    
risposta data 28.11.2018 - 11:58
fonte
17

Non puoi, perché finché uno scanner sia umano che di codice a barre deve essere in grado di vedere il tutto, anche una fotocamera e una fotocopiatrice.

Un codice a barre non è diverso dalla stampa di una stringa di testo, tranne che una macchina può leggerlo più velocemente. Per quanto riguarda la sicurezza, non aggiunge protezione.

Questo problema potrebbe non far parte del modello di minaccia: l'hai controllato?

    
risposta data 28.11.2018 - 10:42
fonte
15

L'NFC è davvero troppo costoso? Ho trovato una confezione da 50 di adesivi MiFARE NFC per $ 13,20, facendoli < $ 0,27 per partecipante; se pianifichi su 500 partecipanti, quello è $ 132 che realmente non è tanto nello schema di un evento approvvigionato di quella scala. Se riesci a spendere $ 0,89 per partecipante, puoi effettivamente ottenere carte MiFARE stampabili a getto d'inchiostro, salvando la fase di stampa e applicando separatamente un adesivo (anche se dovresti avere una stampante a percorso piatto che le carte potrebbero essere alimentato attraverso).

Poiché NFC non può essere fotografato, non può essere duplicato facilmente, ma i tag sono facilmente leggibili da qualsiasi smartphone e da una varietà di altri dispositivi e sono spesso meno pignoli. Ad esempio, se il badge si trova in un supporto di plastica, uno scanner di codici a barre potrebbe rilevare troppa luce ambientale riflessa per poter leggere il codice a barre, e la persona dovrebbe inclinarla in questo modo e quello (facendo una pausa ogni volta per dare allo scanner il tempo di mettere a fuoco), sperando di ridurre il bagliore abbastanza da consentire allo scanner di leggere il codice; con NFC, basta premere la scheda contro il lettore e magari dimenarla un pò fino a quando non si raggiunge il punto giusto. Con la decima o la quindicesima scansione, la persona di sicurezza dovrebbe avere un indizio abbastanza buono in cui il punto debole è ed essere in grado di scansionare quasi istantaneamente da lì in poi.

EDIT1: anche i tag NFC non crittografici di base, economici e programmati con numeri ID semplici sono più difficili da duplicare - è necessario avere un accesso di prossimità a un tag (generalmente meno di un piede). Ciò li rende molto più difficili da clonare rispetto a un codice a barre che può essere catturato da una fotocamera decente da diversi metri di distanza o attraverso la stanza o ulteriormente con un buon DSLR e un obiettivo zoom. L'intervallo di lettura ottimale sui chip NFC si basa sul raggio dell'antenna loop del chip: il raggio diviso per ~ 1.414. Su una scheda NFC da 2 "x3,5" il raggio non può essere superiore a 1 pollice (2,54 cm) poiché l'antenna del loop non può avere più di 2 pollici di diametro, offrendoci un intervallo di lettura "ottimale" di appena sotto 2 cm (meno di un pollice). Anche con un lettore potente, dubito seriamente che sarai in grado di leggere i tag a distanze superiori a un piede.

EDIT2: Come @Falco ha sottolineato nei commenti qui sotto, se si stampa anche un codice a barre sul badge, un potenziale neer-do-well potrebbe non rendersi conto che esiste un tag NFC e tentare di clonare semplicemente il codice a barre. .. ma ovviamente il loro badge contraffatto non scansionerebbe con NFC, esponendolo come un falso.

    
risposta data 28.11.2018 - 22:31
fonte
11

Non sei sicuro di come pianifichi di portare le carte d'identità, appese direttamente dal cordino con un semplice foro punzonato attraverso la carta o se in un portante o un portafoglio di plastica appeso al cordino.

Se utilizzi lo stile del portamonete trasparente, potresti stampare qualcosa o applicare un adesivo all'esterno che copre l'area del codice a barre, ma lasciando la foto e altre informazioni identificative visibili ai lettori umani, assicurati che questo sia su entrambi i lati se nel caso in cui la carta è stata inserita nel vettore invertita. Ciò significherebbe che una foto 'drive by' di qualcuno non rivelerebbe affatto il codice a barre. La carta dovrebbe essere rimossa o spostata all'interno del corriere, tuttavia per la scansione del codice a barre.

Se utilizzi un corriere di plastica più consistente, stampa il codice a barre sul retro della carta per assicurarti che sia oscurato dalla vista mentre sei nel corriere.

    
risposta data 28.11.2018 - 14:59
fonte
5

Una cosa che potresti fare è stata un fiocco di anti-contraffazione per millenni è di introdurre un difetto intenzionale nel tuo codice a barre che induce a leggere, ad esempio, gli ultimi due caratteri "erroneamente". Fai sembrare un errore di stampa accidentale della carta.

Quindi istruisci il tuo scanner / software per ignorare l'errore e passare comunque i dati, tralasciando i bit non validi.

Qualcuno che falsifica le carte probabilmente suppone che la loro fotografia sia imperfetta o che abbia una carta macchiata e corregga manualmente l'errore.

Il tuo software può quindi notare che viene inviato il codice "questa carta è un falso" e la sicurezza degli avvisi.

Questo non è il miglior meccanismo di sicurezza in quanto dipende da un utente malintenzionato che non sa cosa stai facendo e non copia semplicemente la carta senza verificare che sia stata stampata correttamente.

Accoppia questo con una sorta di filigrana. O una filigrana letterale se stai usando una carta cartacea, o dici di timbrare tutte le carte con un codice aggiuntivo che si mostra solo sotto luce UV.

Se si stampa su un codice QR, la costruzione di uno scanner costituito da una scatola con una fessura nella parte anteriore contenente una fotocamera e una lampada UV sarebbe il lavoro di un pomeriggio. Collegalo al programma QR Reader che preferisci. Finché riesci a mantenere segreta la presenza della filigrana, è quasi impossibile per chiunque forgiare una carta.

    
risposta data 28.11.2018 - 20:05
fonte
5

Sì, c'è un modo per farlo *

Usa i materiali fluorescenti per il codice a barre stesso, in modo che la duplicazione non possa essere eseguita dalla fotografia senza rovinare l'invisibilità del duplicato, che distingue i falsi. Le carte d'identità moderne lo usano.

* Funziona solo con le schede in policarbonato, non in PVC. Sfortunatamente, questo potrebbe non essere adatto al budget del tuo cliente.

    
risposta data 28.11.2018 - 20:10
fonte
4

Che ne dici se la prima volta che vengono scannerizzati alla porta da un umano, la persona della sicurezza (cioè lo scanner) controlla la foto per assicurarsi che corrisponda alla persona con il badge. Se corrisponde, la persona di sicurezza indossa uno di quei polsini di tyvek economici di un colore specifico. Questi sono spesso usati nei parchi di divertimento, nei giochi con la palla, ecc. Per indicare livelli di accesso specifici, titoli di età, ecc. Ciò impedirebbe almeno alle persone non autorizzate di entrare nella tua sede in primo luogo.

Questi braccialetti sono monouso e sono molto difficili da decollare e indossare qualcun altro senza notare che sono stati rimossi. Se si mantiene segreto il "colore del braccialetto del giorno" o si ottengono alcuni prodotti appositamente realizzati con un colore o colori specifici, è necessario proteggerli con sicurezza. Credo anche che questi siano in genere piuttosto economici alla rinfusa.

Anche se, in generale, se la sicurezza è di fondamentale importanza in questo evento, allora la sicurezza avrebbe dovuto essere stanziata a fronte di fondi sufficienti a sostenerne l'importanza e il valore.

    
risposta data 28.11.2018 - 16:35
fonte
4

So di essere in ritardo rispetto al gioco, ma qui ci sono due suggerimenti da parte mia:

1) Rendi il codice a barre molto piccolo, abbastanza grande da essere rilevato dallo scanner di codici a barre. Ciò rende difficile (ma non impossibile) prendere copie utilizzabili con una fotocamera senza che sia ovvio che stai provando a farlo.

2) Suddividere il codice a barre in due coppie (ad esempio, solo ogni altra barra) e stampare una metà sulla carta d'identità e una metà su una sovrapposizione trasparente. Dovresti quindi allineare manualmente le due metà per fare un codice a barre utile. Ciò rende più noioso l'uso effettivo, ma rende improbabile che le parti si allineino mentre pendono sul cordino (specialmente se si rende la parte trasparente con un bilanciamento diverso).

Ovviamente puoi combinare i due approcci.

    
risposta data 29.11.2018 - 09:20
fonte
3

Soluzione semplice: stampa il codice a barre sul cordino e non sul badge.

Ognuno può stampare un ID foto fatto di carta con un codice a barre. È piuttosto complicato stampare un codice a barre su un cordino con l'attrezzatura per la stampa domestica.

Se il tuo PhotoID è simile a questo:

Èmoltodifficileperunaguardiadiresequestocodiceabarreèilveroaffareosolounaversionestampataeincollatadelcodiceabarre.Seiltuoeventoèfrequentatodaoltre300persone,diventamoltonoiosocontrollarequestecose.Piùgrandeèilcodiceabarre,meglioè.SesiprevedediutilizzarePhotoIDconcartafattadacarta,diventaimpossibilestabilireseunastampaèrealeofalsa.
Seilcodiceabarreèsulcordinoèestremamentefacileperleguardiediresequestoèfalsooreale.Matienipresentechequestononèassolutamenteunmetodosicuro.Èdavverouncontrollo"non abbiamo più soldi" e non qualcosa su cui dovresti fare affidamento.

    
risposta data 28.11.2018 - 13:47
fonte
3

Sebbene non sia una soluzione completa al problema, puoi rendere la vita leggermente più difficile includendo la Constellation EURion sul tuo carte. Questo può essere usato insieme ad altri approcci.

EURion constellation is a pattern of symbols incorporated into a number of banknote designs worldwide since about 1996. ... [It] consists of a pattern of five small yellow, green or orange circles, which is repeated across areas of the banknote at different orientations. The mere presence of five of these circles on a page is sufficient for some colour photocopiers to refuse processing.

    
risposta data 29.11.2018 - 05:36
fonte
3

Anche se potrebbe essere semplice scattare una foto di un lato, è molto più difficile catturare entrambi i lati in un attacco casuale. Puoi fare varie cose per costruire su quell'idea, a seconda dell'evento.

  • Codici a barre univoci su ciascun lato, il partecipante mette la carta tra due lettori
  • Codice a barre su un lato, informazioni verificabili dall'uomo sull'altro. Confronto manuale rispetto all'account.

Oppure potresti aggiungere un secondo fattore. Invia al partecipante un SMS di registrazione al momento della prima scansione, che cattura il loro beacon con il wifi locale e quindi puoi eseguire controlli di approssimazione ogni volta che eseguono la scansione in futuro. Se il loro telefono non è dove dovrebbe essere, bloccare l'accesso e inviare un altro SMS-link. Potresti avere due fattori fino in fondo, ma probabilmente vorrai che un'app fornisca una notifica più rapida.

Oppure potresti solo oscurare del tutto il codice a barre. La tua idea era il cellophane rosso ... Perché non solo una copertura di oscuramento? Potrebbe essere sporco come un post-it o un nastro adesivo, o bello come una manica che oscura solo il codice a barre.

    
risposta data 29.11.2018 - 11:43
fonte
2

Come affermato in altri commenti, non è chiaro quali siano le minacce che stai affrontando. Se sei completamente preoccupato per le persone che fotografano l'identificazione, fai semplicemente qualcosa in modo che lo stato fisico naturale del passaggio oscuri il codice a barre. Ad esempio, puoi distribuire i passaggi piegati a metà (il cordino può aiutarti a tenerlo a metà) e il codice a barre può essere all'interno. Quando le persone eseguono la scansione, è possibile che la sicurezza "spieghi" il passaggio per rivelare il codice a barre. Oppure puoi avere persone che indossano carte d'identità ma portare una scheda con codice a barre in tasca per l'ingresso.

    
risposta data 28.11.2018 - 21:46
fonte
2

Teoricamente puoi stampare in qualcosa di polarizzato. Quindi guardalo con luce polarizzata o attraverso un filtro polarizzato. Non necessariamente economico però.

È presumibile che tu possa scegliere la polarizzazione lineare o circolare per evitare qualsiasi filtro che potrebbe essere in genere in una fotocamera comune.

    
risposta data 29.11.2018 - 02:34
fonte
2

In senso stretto, non c'è. Se lo scanner può leggerlo, può essere registrato e riprodotto. Ma questo non dice tutta la storia.

Sebbene le macchine fotografiche e gli schermi / stampanti in questi giorni siano piuttosto universali, non possono acquisire e riprodurre ogni singolo colore. Ci sono in realtà colori che l'occhio umano può vedere, ma che sono difficili da catturare sulla fotocamera, visualizzare sullo schermo o stampare su carta:

Alcuni esempi semplici includono i colori fluorescenti, la fluorescenza effettiva attivata da una certa luce di colore emessa dallo scanner (ad esempio, le piante verdi si illuminano di arancione sotto la luce UV), i colori non visibili come i raggi UV o gli infrarossi. Si potrebbe anche andare all'indietro e includere funzionalità che sono normalmente visibili ma invisibili allo scanner, ad esempio forse parte del codice a barre è inserita tra fogli di carta e che diventa correttamente trasparente solo sotto lo scanner. Molte banconote incorporano tali misure di sicurezza basate su trasparenza, tinture speciali e carta, elementi luminosi / ologrammi e così via.

Questo non significa che la tua carta non sia fotografabile, poiché ovviamente lo scanner la può rilevare: un avversario può costruire un dispositivo simile e registrare la tua carta. Ma vuol dire che le fotocamere dei consumatori prontamente disponibili non saranno in grado di farlo, quindi l'avversario dovrà ottenere attrezzature specializzate (che potrebbero non essere nemmeno legali per l'acquisto) o addirittura costruire il proprio dispositivo. Allo stesso modo, la riproduzione sarà anche una sfida. Se si utilizza un colore al di fuori dello spazio CMYK, non è possibile stamparlo e, se all'esterno, lo schermo del telefono non lo visualizza. Ancora una volta, possono ottenere o creare schermate / documenti specializzati che possono fare (dopotutto, chiunque abbia reso le tue carte d'identità legittime è stato in grado di farlo) ma sarà più difficile. Per non parlare del fatto che sarà più facile per le forze dell'ordine trovarli, perché non molte persone potrebbero disporre di attrezzature così specialistiche senza una buona ragione.

La vera soluzione ideale qui è usare solo chip RFID con crittografia. Poche persone hanno le capacità tecniche per riprodurle e, anche se lo fanno, non saranno in grado di trovare facilmente la chiave di crittografia nel chip. Come opzione a basso costo, le carte magnetiche dovrebbero essere più economiche, quelle possono essere facilmente clonate ma richiedono attrezzature. La soluzione di controllo degli accessi fisici testata nel tempo è ovviamente una chiave semplice (anche se non è così semplice da copiare). Oppure potresti semplicemente dimenticarlo e utilizzare password memorizzate.

Se davvero devi usare gli scanner, guarderei l'inchiostro fluorescente o stamperei su un materiale che non sembra giusto tranne che per una lunghezza d'onda specifica (presumibilmente fornita dallo scanner), ma è difficile essere più preciso senza sapere cosa sia lo scanner.

    
risposta data 30.11.2018 - 00:05
fonte
1

Se è possibile garantire che tutti i codici a barre vengano stampati nello stesso identico punto, è possibile modificare lo slot del lettore di codici a barre per posizionare l'ID esattamente con qualcosa che copre i bordi. Pertanto, se qualcuno tenta di stampare una foto ma è leggermente fuori centro, il codice a barre non verrà letto.

Tuttavia, suggerirei che la ricezione non abbia tale cosa, e solo quelli con dati sensibili. In questo modo un "imbroglione" pensa di aver funzionato, quindi è bloccato all'interno quando tenta di passare attraverso aree riservate. A seconda della persona, sarebbe rischioso uscire e cercare di ripararlo e rivelare la propria intenzione. Se viene bloccato prima di entrare nella "zona comune", potrebbe avere la possibilità di risolverlo e riprovare con un'altra persona.

    
risposta data 28.11.2018 - 14:17
fonte
0

Penso che tu sia troppo concentrato sulla copia del codice a barre. Il modo corretto per farlo è quello di rilasciare un ID univoco a ogni persona che visita e tenere traccia di tale ID, verificandolo (e possibilmente fuori) dalle diverse sedi. Se un ID è già all'interno di una sede, l'accesso sarà vietato. Esiste ancora la possibilità che un visitatore ottenga l'accesso con un codice a barre copiato prima del legittimo proprietario dell'ID. Ma in tal caso il legittimo proprietario potrebbe dimostrare di essere il legittimo proprietario dell'ID per mezzo di un qualche tipo di ricevuta. È quindi possibile invalidare tale ID nel computer, bloccando così il modulo di identità copiato per ulteriori presenze.
Ma vale la pena? Quale danno viene fatto da alcuni visitatori non validi? La migliore misura di sicurezza potrebbe essere solo per dire alle persone che esiste una misura di sicurezza per prevenire le frodi. "Tieni presente che terremo traccia degli ID rilasciati e se dovessimo scoprire che qualcuno ha ottenuto un ingresso non valido, avremo le nostre guardie di sicurezza che si prenderanno cura di lui finché la polizia non arriverà" o simili potrebbero semplicemente farlo. .. :-)

    
risposta data 29.11.2018 - 13:33
fonte
0

Se la protezione dei punti di accesso supervisionati dalla guardia è sufficiente, che ne dici dell'autenticazione a due fattori a basso costo? Insieme alla carta d'identità, distribuisci un gettone di plastica, un gettone da casinò, una paperella di gomma o un altro gingillo che non può essere ottenuto rapidamente da aspiranti gatecrashers.

Dovrebbe avere un buco o un altro modo per attaccarlo al cordino, altrimenti avrai persone che perdono o "perdono" a destra ea manca.

    
risposta data 30.11.2018 - 14:29
fonte
0

In realtà non è così facile da fotografare senza che almeno chi lo indossa se ne accorge se il codice a barre è sufficientemente piccolo (pensa all'altezza di 8pt o 6pt caratteri ...)

Supponiamo che stiamo parlando di videocamere palmari, nessun telefono di fascia alta (doppia lente), teleconvertitori a scatto, telecamere professionali / per appassionati, zoom ottici, elaborazione RAW o treppiedi coinvolti. È probabile che qualcuno che dia tutto il fastidio possa permettersi di pagare i biglietti.

Supponiamo una fotocamera da 12 MP, che offre una risoluzione effettiva di 2000 pixel sul lato più lungo della foto. Non 4000, ci saranno aliasing o antialising sulla tua strada quando proverai a riprodurre fedelmente strutture più piccole di 2 pixel.

In molti casi, puoi nuovamente dimezzare la risoluzione effettiva disponibile per la riproduzione esatta a causa dell'immagine che viene automaticamente postelaborata dal firmware del telefono per correggere i difetti dell'obiettivo, specialmente nelle parti decentrate dell'immagine. I pixel vengono rimossi dal loro raster per farlo ....

Supponiamo che l'obiettivo di un telefono cellulare standard sia un grandangolo equivalente a 24 mm o 28 mm senza zoom ottico, quindi aumentare l'ingrandimento non ti darà una risoluzione extra.

Se il tuo codice a barre necessitasse di una risoluzione di 100 pixel per funzionare, significherebbe che qualcuno dovrebbe fotografarlo in modo da riempire 1/20 del fotogramma e farlo senza introdurre distorsione prospettica, scuotere, altri errori ...

Un piccolo codice a barre lungo 1 cm potrebbe semplicemente riempire 1/100 ° della larghezza del fotogramma scattata con un obiettivo equivalente da 28 mm da una distanza di 1 metro .... o 1/50 se qualcuno si avvicina a qualcuno a una distanza di mezzo metro, probabilmente viene espulso per invadenza.

    
risposta data 30.11.2018 - 22:18
fonte

Leggi altre domande sui tag