Questo portafoglio di blocco RFID è effettivamente sicuro?

Naviga le tue risposte
4

Questa domanda si basa su un rapido esperimento che ho eseguito quando ho messo in dubbio l'efficacia del mio portafoglio di blocco RFID ( questo ). Nel mio esperimento, uscii dal mio ufficio, misi la mia carta d'identità RFID nel portafoglio e tentai di usare il portafoglio contenente la carta per aprire la porta dell'ufficio. Con mia sorpresa, la porta si è aperta senza problemi!

La mia domanda è questa: l'apertura della porta indica che questo portafogli RFID non sta effettivamente facendo il suo lavoro? Tocco fisicamente il portafoglio contro il lettore per aprire la porta, quindi il portafoglio riduce il raggio effettivo a cui la carta può essere letta? Senza il portafoglio, la carta richiede anche una stretta vicinanza (entro pochi cm) al lettore per aprire la porta.

Modifica: lettura questa risposta accettata della domanda, si dice che la frequenza RFID può variare- sarebbe ragionevole presumere che la differenza nella frequenza operativa tra una carta di credito e un badge identificativo sarebbe abbastanza grande da causare una carta di credito ma non un badge identificativo per essere offuscato dal portafoglio?

Modifica n. 2: sono tornato per provare alcuni esperimenti più controllati in base alla risposta di @Herringbone Cat e ai commenti di @AdamShostack di seguito. Variare l'orientamento della carta non sembra apportare alcuna modifica. TUTTAVIA, ho provato per la distanza a cui la carta poteva aprire la porta, e l'ho trovata effettivamente dimezzata con l'uso del portafoglio.

In termini di frequenza e potenza, non mi aspetterei che il problema sia il potere, in quanto si tratta di una carta passiva (che avrebbe dovuto specificare prima). Mi aspetterei che un lettore RFID malevolo sia di potenza arbitraria e quindi paragonabile al lettore di porte al minimo. Indagando ulteriormente, sospetto che la mia carta d'identità sia questo marchio , che ha una frequenza operativa di 13,56 MHz. Questa è la frequenza operativa per anche le carte di credito .

Detto questo, dimezzare la portata che un lettore deve avere sulla carta può essere un deterrente efficace per il furto della carta RFID.

    
posta CaptainCalvert 11.10.2016 - 20:18
fonte

3 risposte

4

Sembra che questo portafogli di blocco RFID non stia semplicemente formando una gabbia ultraleggera abbastanza potente, e una quantità sufficiente di potenza RF è in grado di passare semplicemente attraverso il portafoglio "blocco RFID"; o non è un sigillo completo e va semplicemente in giro. Ciò significa che il prodotto era probabilmente fabbricato male e, quantomeno, chiaramente difettoso.

RFID Obeys Inverse Square Law

Le onde radio, come tutte le altre forme di energia elettromagnetica, obbediscono alla legge sulla piazza inversa . Quindi, tenendolo più vicino aumenta esponenzialmente la capacità di inviare / ricevere radio dal trasmettitore alla scheda. In questo caso, tenerlo più vicino consente di leggerlo nel portafoglio .... il che significa che il portafoglio blocca in qualche modo le onde, ma non abbastanza.

Frequenza vs. Potenza

Non è necessariamente solo la frequenza operativa della scheda RFID che conta qui, ma la quantità di energia che il ricevitore / trasmettitore sta utilizzando. Se si tratta di un tag passivo, solo il ricevitore è alimentato, il che significa che il blocco del blocco RFID sarebbe più efficace. I tag attivi hanno una batteria e un proprio trasmettitore e, a seconda della freschezza di quella batteria e dell'elettronica, possono produrre un segnale molto più strong rispetto ad altre schede RFID.

La maggior parte delle carte RFID in questi giorni sono HF / UHF, con LF che viene usato raramente. Le schede RFID UHF / HF funzioneranno su un intervallo molto maggiore = rispetto alle schede a frequenza più bassa. Tuttavia, le carte di credito sono in genere passive mentre le etichette della porta sono attive ... il che probabilmente spiega l'esperienza qui più della differenza di frequenza.

I ricevitori RFID ad alta potenza (come quelli utilizzati per l'hacking) possono scansionare le schede RFID da remoto a distanze fino a 10 metri.

Andando in giro per la schermatura

Nel caso di portafogli "bloccanti" RFID mal progettati, c'è spesso spazio per le onde radio omnidirezionali che filtrano essenzialmente dal portafoglio attraverso una piega. Questo perché non è sigillato al 100% e in quanto tale non è una vera gabbia di Faraday. Al contrario, un contenitore di stagno di Altoids può in genere bloccare il 100% dei tentativi di lettura delle carte RFID trattenute all'interno ... se viene tenuto chiuso, una volta aperto il coperchio o ancora socchiuso, è possibile leggere la scheda.

Quindi, per sconfiggere gli hack basati sulla lettura RFID, avrai bisogno di un portafoglio con blocco RFID che formi una gabbia di Faraday sufficientemente strong (abbastanza spesso da attenuare l'RFID HF) e abbia isolamento e tenuta sufficienti per evitare di essere letto da lettori ad alta potenza.

    
risposta data 11.10.2016 - 20:43
fonte
0

Capitan Calvert, questo video dimostra come la schermatura riduce l'intervallo di lettura in modo abbastanza efficace, potrebbe non avere il portafoglio, ma dimostra visibilmente la riduzione del raggio di lettura e confronta i diversi prodotti di schermatura. link

    
risposta data 23.02.2018 - 20:30
fonte
0

Versione breve: prova il tuo esperimento utilizzando inlay da 13,56 mHz per vedere quanto bene il tuo portafoglio blocca RFID a 13,56 mHz.

È possibile che tu abbia impostato un povero esperimento se vuoi determinare quanto bene il tuo portafoglio blocchi i segnali dalle carte di pagamento.

Edit: reading this question's accepted answer, it is mentioned that RFID frequency can vary- would it be reasonable to assume that the difference in operating frequency between a credit card and ID badge would be large enough to cause a credit card but not ID badge to be obfuscated by the wallet?

Le sono differenze rigide nel modo in cui funzionano i diversi tipi (UHF / HF / LF) dei transponder RFID. Ad esempio, la maggior parte degli inlay ad alta frequenza (UHF) passivi non schermati sono resi completamente inutili quando sono in contatto con superfici metalliche mentre gli inlay ad alta frequenza (HF, think NFC) non sono praticamente influenzati. Tipici intarsi UHF tendono anche ad essere costruiti per essere altamente direzionali, mentre gli HF tendono ad essere omnidirezionali. Non tutte queste differenze sono dovute alla gamma di frequenza utilizzata, ma alcuni sono i produttori di differenze (che usano intervalli di frequenza per raggruppare i loro prodotti).

La maggior parte dei sistemi di controllo degli accessi che ho usato erano sulla gamma di frequenze basse (LF) dello spettro (come molti prodotti HID).

I suspect that my ID card is this brand, which has an operating frequency of 13.56MHz

La pagina che hai collegato è la documentazione per la linea di tessere / lettori HIDs 125kHz, che è molto comunemente usata per il controllo degli accessi e anche LF RFID, a differenza dei 13.56mHz che hai dichiarato correttamente per il pagamento . Questo è un articolo subottimale per testare quanto bene il tuo portafoglio blocchi HF (13,56 mHz) a causa delle potenziali differenze nel funzionamento dei transponder RFID HF e LF.

Ti suggerisco di provare il tuo esperimento utilizzando una carta di pagamento wireless e un kiosk per ottenere dati più utili. In alternativa, è possibile provare a utilizzare un telefono da quando alcuni mesi fa (scritto alla fine del 2018) anche i dispositivi iOS hanno i loro lettori NFC abilitati, quindi dovresti essere in grado di trovare un'applicazione che permetta di leggere gli inlay NFC (HF RFID). Se hai problemi nel leggere una carta (ci sono sono misure di sicurezza che impediranno a un risponditore RFID di rispondere, non ho familiarità con i sistemi di pagamento) potresti provare a ottenere un pass di transito wireless come una carta di prova, se disponibile. La maggior parte delle schede bus / ferrovia che hanno funzionalità wireless si basano sulla tecnologia NFC (HF RFID) e sarebbero test più adatti. Del resto, puoi acquistare gli inlay NFC in modo relativamente economico (forse qualche USD per) online.

È possibile che il tuo portafoglio non faccia il suo lavoro, ma se vuoi sapere con certezza dovresti raccogliere dati migliori.

EDIT: reference per supportare le mie affermazioni superiori a 125 kHz / 13,56 mHz LF / HF rispettivamente.

    
risposta data 01.11.2018 - 17:27
fonte

Leggi altre domande sui tag

WIFI Pentest methodology pwdump mi dà password vuote come hash anche se ci sono password?