È una buona idea affidarsi a UID Mifare per motivi di sicurezza / autorizzazione?

6

Diversi sistemi si affidano all'utilizzo di UID della smart card per l'identificazione / autorizzazione. Ad esempio, l'elenco dei database memorizza gli UID della smart card e quelli corrispondenti privilegi.

Dato che oggi esistono schede in cui è possibile scrivere qualsiasi UID che si desidera e quindi emulare ad esempio l'UID classico Mifare, quali sono le pratiche di utilizzare UID smart card per l'autorizzazione?

In altre parole, la paura è se io uso l'UID Mifare Classic per l'autorizzazione, qualcuno può acquistare qualche carta cinese, dove puoi assegnare qualsiasi UID vuoi - e quindi detentore di tale carta, può impersonare il detentore originario del mio Mifare Classic.

Ci sono modi per superare questo? In che modo (o per niente?) Le persone utilizzano l'UID della smart card per l'autorizzazione?

    
posta 23.04.2014 - 13:36
fonte

3 risposte

5

Il Mifare Classic è stato rotto diversi anni fa (la loro crittografia debole, oscura e proprietaria si è rotta) e così pure il Mifare DESfire v1. Dovresti fare affidamento su algoritmi più potenti (preferibilmente quelli forti aperti) e avere anche un sistema di monitoraggio che rileva comportamenti anomali per rilevare la clonazione o la manomissione. Dipende solo dal livello di sicurezza di cui hai bisogno.

Abbiamo al lavoro un sistema di pagamento RFID per le macchine da caffè. Impostare una bio metrica + codice + controllo di rete su quelle carte sarebbe eccessivo. Dal momento che si basano su Mifare classic, è possibile con il dispositivo Proxmark (personalmente non ho mai provato, ma altri lo hanno fatto, semplicemente google clonando il classico mifare proxmark) per impostare qualsiasi importo di denaro sulla carta e ottenere un caffè illimitato. Ma il dispositivo Proxmark costa circa 300 $, quindi non è economicamente conveniente se non sei un drogato di caffè (ed è moralmente sbagliato, ma perfettamente fattibile).

Ma se stai parlando di autorizzazione all'accesso, questa carta è un grande no-no. (potresti usare Mifare DESfire v2 se vuoi stare con Mifare per esempio, ma ancora, cerca il livello di sicurezza di ciascuna offerta e se soddisfa le tue esigenze).

"We do not recommend the use of Mifare Classic for new installations. We are working with customers to review their security." source: http://news.bbc.co.uk/2/hi/programmes/click_online/7655292.stm

modifica: per avere una visione più ampia dei rischi che stai affrontando utilizzando un sistema di autorizzazione RFID, consulta link , a "2.1.1 Tipologia di rischi", sarete in grado di confrontare questa conoscenza con le soluzioni proposte dai fornitori di soluzioni di sicurezza.

    
risposta data 19.05.2014 - 13:37
fonte
2

In genere è sempre una cattiva idea affidarsi a un singolo meccanismo di autenticazione. Fare riferimento alla difesa in profondità per questo. Una biometrica + smartcard, o smartcard + password o simili 2FA sarebbero appropriate in un ambiente che richiede una sicurezza superiore alla media.

Per quanto riguarda le schede RFID, correggimi se sbaglio ma MiFare è un produttore di più di una soluzione "smart card" basata su RFID. E anche se è vero che alcune delle loro carte come MiFare Classic sono facilmente vulnerabili alla clonazione, i PoC per alcuni dei loro altri prodotti sono più difficili da implementare.

In secondo luogo, la clonazione si basa sulla possibilità di mettere le mani sulla carta originale. La sicurezza fisica dovrebbe essere al suo posto per rendere questo difficile (portafogli a prova di RFID, ecc.).

Le schede basate su RFID sono attualmente utilizzate nel settore delle carte di pagamento, reti ferroviarie pubbliche, uffici aziendali con bassi tassi di criminalità segnalati pubblicamente che mi inducono a ritenere che per la maggior parte delle attuali applicazioni i profitti superino i rischi per la sicurezza.

Il tracciamento della carta è una politica interessante in cui monitorando l'ultima posizione utilizzata di una carta, è possibile rilevare anomalie in un sistema centrale. Ad esempio, nei luoghi in cui le persone usano la loro carta due volte per far scorrere un altro individuo, una politica di tracciamento della carta può avvisare la sicurezza di indagare. A seconda della criticità delle risorse protette, è possibile adottare un'appropriata politica di rilevamento o prevenzione delle intrusioni.

Considerazioni sulla sicurezza:

  • Scegli una soluzione rfid più difficile da clonare.
  • Addestramento dei dipendenti.
  • Utilizzo di manicotti di blocco RFID.
  • Monitoraggio della carta
  • Utilizza 2FA, invece di fare affidamento solo sulla smartcard.
risposta data 19.05.2014 - 13:16
fonte
0

non è, come detto, nessuna codifica è a prova di proiettile, nessun UID è "non impersonabile" o comunque il suo nome, lo spoofing UID, gli indirizzi MAC o qualsiasi cosa con un numero, è plausibile, l'altro più difficile dell'altro.

quindi sì, a lungo termine, puoi emulare l'ID

    
risposta data 23.04.2014 - 14:23
fonte

Leggi altre domande sui tag