Le chiavi o i tag RFID sono soluzioni di controllo degli accessi più sicure?

TL; DR: I lock fisici sono più semplici e quindi meno inclini al fallimento. Le carte di prossimità (ad esempio RFID) sono superiori in ogni altro modo.

Scelta di un blocco
 è un attacco di canale laterale che concede l'accesso a una persona che non ha mai avuto bisogno di avere un token di accesso valido (in questo caso, una chiave). È veloce, altamente efficace e non lascia alcun registro di controllo (se non addirittura i graffi). Quasi tutte le serrature sono vulnerabili al prelievo in una certa misura.
Scelta di una stazione RFID
 sarebbe un attacco simile canale laterale contro l'hardware della stazione stessa o contro il protocollo sottostante. Non esiste un attacco generalizzato, ma potrebbero essere possibili attacchi specializzati contro hardware specifico.

Clonazione di una chiave fisica
richiede solo una fotografia della chiave e l'appropriato hardware per tagliare le chiavi. L'hardware prodotto in commercio per farlo è disponibile a costi minimi, oppure puoi farlo manualmente utilizzando un file e un righello decente. La distanza alla quale è possibile clonare una chiave è illimitata per scopi pratici e richiede solo una linea di mira. L'esistenza o meno di risoluzioni sufficienti per farlo dallo spazio non è divulgata pubblicamente, ma potrebbe essere una possibilità. Una chiave clonata può essere resa indistinguibile da un originale. In alcuni casi è anche possibile utilizzare le proprietà fisiche del blocco per creare una chiave funzionante (senza mai vedere un'altra chiave "reale"). Ogni chiave può essere clonata. Senza eccezioni.
Clonazione di un token RFID
richiede un dispositivo per leggere e riprodurre il segnale RFID, come il Proxmark3. Questo è un dispositivo specializzato che è prontamente disponibile ma non ampiamente posseduto. I token di challenge-response ad alta sicurezza non possono essere clonati leggendo il loro segnale. Punto.

Revoca dell'accesso per una chiave fisica
implica il reinserimento di tutti i blocchi in modo che la chiave revocata non funzioni più. La semplice restituzione della chiave è insufficiente, poiché le chiavi sono banali da clonare ... anche se si dice "non duplicare".
Revoca dell'accesso per una chiave RFID
implica dire al sistema di smettere di fidarsi della chiave revocata. Non è necessario ulteriore lavoro.

Visualizzazione concettuale: c'è autenticazione e c'è autorizzazione ; queste sono attività distinte. L'autenticazione consiste nell'assicurarsi di chi stai parlando; l'autorizzazione consiste nel decidere cosa è permesso fare a qualcuno. In realtà vuoi tenerli separati .

I tag RFID implementano l'autenticazione: attraverso la conversazione elettronica tra il tag e il lettore, il lettore verifica l'identità del tag, quindi (presumibilmente) l'identità del tag holder. L'autorizzazione viene eseguita dal lettore, che può essere collegato con un server di autorizzazione centrale. D'altra parte, con una chiave, l'autenticazione e l'autorizzazione sono confuse nello stesso dispositivo: avere la chiave in mano concede automaticamente l'accesso.

La necessità di separare l'autenticazione e l'autorizzazione è resa più visibile quando si desidera revocare un accesso. Con i tag RFID, è facile: basta capovolgere qualche flag nel database del server di autorizzazione. Con le chiavi, non è possibile farlo: per revocare un accesso, è necessario ripristinare la chiave stessa (e non è possibile farlo se il motivo per la revoca è stato che la chiave è stata persa o rubata), o cambiare il blocco (e questo è costoso , non solo per il blocco stesso, ma perché è necessario distribuire un nuovo set di chiavi agli altri utenti). Allo stesso modo, con i tag RFID è possibile applicare il controllo degli accessi basato sul tempo (accesso garantito solo in determinate ore del giorno) e non è possibile farlo con i tasti.

Un'altra buona proprietà dei tag RFID è clonazione selettiva . Quando un nuovo dipendente deve avere accesso, rilasciare un nuovo tag per lui è facile per l'amministratore di sistema; ma gli utenti stessi troveranno difficile clonare il loro tag (i buoni tag sono come smart card : sono resistenti alle manomissioni). Ciò significa che la gestione delle autorizzazioni rimane nelle mani degli amministratori di sistema. Con le chiavi, entrambe le chiavi non possono essere duplicate, nel qual caso concedere l'accesso ai nuovi utenti è difficile, o le chiavi possono essere duplicate, nel qual caso è difficile impedire la clonazione canaglia da parte degli utenti esistenti.

Riepilogo: i tag RFID sono superiori alle chiavi perché consentono un accesso controllo a grana fine con revoca immediata e autorizzazione centralizzata e amministrazione.

Il punto più saliente che renderebbe le chiavi preferibili sui tag RFID, in alcuni contesti specifici. è che le chiavi non hanno bisogno di essere alimentate. Un lucchetto che è stato bloccato, rimane bloccato anche dopo un'interruzione di corrente prolungata. Tuttavia, nella maggior parte dei casi, i tag RFID sono migliori.

A favore dei blocchi meccanici è che sono economici e semplici (e quindi meno propensi ad abbattere).

(Anche se distribuisci un sistema RFID di fantasia, scommetto che hai inserito anche un blocco meccanico, perché costa quasi nulla e ti dà un ripiego nel caso in cui il controllo degli accessi fallisca.)

Tuttavia, nella maggior parte degli ambienti ad alta sicurezza è probabile che si desideri una sorta di controllo di accesso elettronico, non solo per la registrazione, ma in tal modo è possibile annullare l'accesso da remoto. per esempio. se Fred perde il suo tag RFID, o se Barney lascia l'azienda, una modifica al database e tutti e tre i tag smettono di funzionare.

(Tre non era un errore di battitura: stavo includendo il clone Betty fatto con l'etichetta di Barney che nessuno di voi sapeva. Betty!)

Come per tutti gli aspetti di sicurezza, dipende dai risultati dell'analisi dei rischi. Recentemente sono andato con un blocco meccanico solo su una nuova porta in un'area sicura perché quando ho eseguito l'analisi, semplicemente non valeva la pena.

Concorda con la maggior parte di ciò che ha detto Tom Leek, ma ci sono alcune cose aggiuntive da considerare.

I tag RFID possono essere più semplici (e più veloci) da clonare rispetto ai tasti fisici. Il segnale tra RFID e il lettore è fuori nell'etere se qualcuno può catturare quel segnale e riprodurlo, sia con un piccolo lettore posizionato accanto al vero lettore o qualcosa con un'antenna.

Per ottenere una copia della chiave, dovrebbero ottenere l'accesso fisico o possibilmente una fotografia della chiave. Una volta avuti, avrebbero dovuto ritagliare una copia della chiave.