Protocollo di sicurezza per adesivi / tessere NFC

Question

Protocollo di sicurezza per adesivi / tessere NFC

#1 da (1 voti)

5

Diciamo che sto usando le schede NFC per il controllo degli accessi. Le schede / adesivi NFC sono facilmente leggibili e scrivibili, quindi la mia preoccupazione è che i dati su di essi possano essere facilmente clonati su un'altra scheda / adesivo e bypassare la sicurezza.

La mia idea di rilevare la clonazione consiste nell'includere 2 informazioni su ciascuna scheda:

ID utente
Valore casuale

Quindi diciamo che succede quanto segue:

La carta dell'utente A è clonata dall'utente B, quindi ora l'utente B ha anche una carta con quei dati
Quando l'utente A entra, viene generato un nuovo valore casuale che viene salvato sia sulla carta che nel back-end. Questo valore casuale deve essere presentato nel prossimo tentativo di accesso.
L'utente B tenta di entrare con la sua carta clonata contenente l'ID utente "A" dell'utente, ma ha un "valore casuale" errato, quindi non gli è permesso entrare.

Questo sembra un buon modo per risolvere questo problema? Ci sono altri modi?

authentication authorization nfc

posta zundi 27.06.2015 - 02:26

fonte

1 risposta

Leggi altre domande sui tag authentication authorization nfc

Invio di messaggi crittografati con RSA ibrido, AES e HMAC SHA-256 Sfruttamento di XSS riflessa sull'app Android

score 1 · Accepted Answer

Il metodo che proponi è in realtà ciò che viene utilizzato da alcuni formati di schede IC, tra cui la FeliCa di Sony:

FeliCa's encryption key is dynamically generated each time mutual authentication is performed, preventing fraud such as impersonation. (From Wikipedia)

Questo potrebbe essere implementato semplicemente tagliando l'ID della carta (o altri dati univoci) e l'ultima volta dell'autenticazione del sistema (in millisecondi forniti dal tuo server di back-end) con un segreto nascosto sotto forma di sale, e scrivendolo ogni volta l'autenticazione viene eseguita Quando viene utilizzato per l'autenticazione, il backend rehash il cardID con l'ultimo orario di accesso archiviato e assicurarsi che corrispondano.

Una carta clonata consentirebbe a un utente malintenzionato di impersonare l'utente reale, ma la frode verrebbe rilevata la prossima volta che l'utente reale tentasse di autenticarsi e non avesse avuto successo (a meno che l'attaccante non potesse ottenere l'accesso fisico ripetuto alla scheda originale per clonare l'aggiornamento informazioni indietro).

Altri modi per proteggere la carta includono schede NFC in formato speciale che richiedono l'invio di un codice di crittografia prima che l'area dati sia leggibile / scrivibile, impedendo l'accesso alla carta senza conoscere il codice della carta (non so se questo è conforme alle specifiche NFC o no), o richiede più fattori per l'autenticazione (come passcode, informazioni biometriche, ecc.), il che significherebbe che un singolo fattore non sarebbe sufficiente per la rappresentazione.