Ce este securitatea datelor RFID?
Dec 10, 2025
Lăsaţi un mesaj
Ce este securitatea datelor RFID?
Anul trecut ne-a sunat un client, furios. Cardurile lor de control acces fuseseră „pirate”. Se pare că încă mai rulau carduri de proximitate de 125 kHz de acum un deceniu. Cineva a trecut pe lângă un angajat din metrou cu un dispozitiv de dimensiunea unui telefon-, iar în dimineața următoare, depozitul lor a fost accesat de o parte necunoscută folosind un card clonat.
Producem produse RFID la SYNTEK de aproape 20 de ani. Povești ca asta nu sunt rare. Am văzut companii cheltuind milioane pe sisteme de urmărire a activelor, doar pentru a descoperi că orice cititor de 30 USD de la AliExpress își poate rescrie etichetele. Am văzut sisteme de prezență jucate cu cărți duplicat-același număr de card care apar în trei orașe diferite simultan.
„Securitatea datelor RFID pare complicată, dar problema de bază este foarte simplă: semnalele wireless pot fi interceptate. Partea dificilă? Majoritatea cumpărătorilor habar nu au ce nivel de securitate primesc de fapt.”
Iată lucrul despre care nimeni nu vorbește
RFID este un sistem fără fir deschis. Eticheta și cititorul dvs. comunică prin unde radio. Oricine are echipamentul potrivit poate asculta.

Comunicarea wireless are loc în aer liber, făcând posibilă interceptarea fără contact fizic.
Problema a început devreme. Când producătorii au proiectat pentru prima dată aceste cipuri, s-au concentrat pe „putem să-l citim?” nu „ar trebui să te lăsăm să-l citești?” Multe cipuri au autentificare zero. Cititorul întreabă „cine ești?” iar eticheta doar... răspunde. Nu contează dacă este un dispozitiv legitim sau un tip cu un Proxmark în rucsac.
Imaginați-vă că mergeți pe stradă și anunțați cu voce tare numărul dvs. de securitate socială oricui vă întreabă. Practic, așa funcționează multe carduri RFID.
De ce cardurile de 125 kHz sunt o glumă de securitate
Iată ceva ce industria nu face reclamă: o mare parte de carduri de acces încă utilizate astăzi, funcționează pe tehnologia anilor 1990.
Aceste carduri funcționează la 125 kHz. Modelul de cip este de obicei EM4100 sau TK4100. Cum funcționează? Pornire, ID de difuzare, gata. Fără criptare. Fără autentificare. Doar un număr fix stocat pe cip.
Costul clonării unuia? Poate 20 USD pentru un cititor-scriitor de pe Amazon, alți 5 USD pentru carduri goale. Trei minute de lucru.
Clienții ne întreabă uneori: „Poți să faci un card criptat de 125 kHz?”
Răspuns scurt: nu. Protocolul în sine nu acceptă o securitate serioasă. Vrei protecție, treci la frecvență înaltă de 13,56 MHz sau UHF, cu cipuri precum MIFARE DESFire sau ICODE DNA care suportă efectiv criptarea AES.
Cum arată de fapt atacurile
Pe baza conversațiilor cu clienții noștri, iată unde siguranța RFID eșuează în practică:
Clonarea cardului de acces
Atacatorul nu trebuie să atingă cardul dvs. Un cititor-cu profit mare ascuns într-o geantă de mesagerie, stând în spatele dvs. la câteva secunde într-un lift sau pe linia de prânz-acesta este suficient pentru a prelua datele. Scrieți-l pe un card gol și acum au accesul dvs.
O companie de administrare a proprietății ne-a spus despre o serie de spargeri-la complexul lor rezidențial. În cele din urmă, poliția și-a dat seama că hoțul clonează carduri de acces pentru rezidenți. Jurnalele de intrare în clădire? Toate au arătat numerele proprii de carduri ale victimelor. Nicio urmă a intrusului real.
Modificarea datelor
Dacă sistemul dumneavoastră RFID urmărește inventarul sau bunurile, etichetele stochează informații reale, nu doar ID-uri. Acolo lucrurile devin mai dezordonate.
Etichetele care pot fi scrise sunt concepute pentru actualizări-funcție utilă. Dar fără protecție la scriere, oricine poate face modificări. Cineva din lanțul de aprovizionare schimbă „clasa standard” cu „premium” pe datele etichetei sau înaintează data de fabricație cu șase luni. Se întâmplă.
Reluarea atacurilor
Ăsta e mascat. Atacatorul nu trebuie să decripteze nimic. Ei doar înregistrează conversația dintre etichetă și cititor, apoi o redă mai târziu.
Gândiți-vă la asta astfel: vă glisați cardul pentru a deschide o ușă, iar cineva din apropiere înregistrează întregul schimb de radio. Data viitoare, își îndreaptă dispozitivul spre cititor și apasă pe play. Ușa se deschide. Reader crede că tocmai ți-a văzut cardul din nou.
Pentru a opri acest lucru, sistemele au nevoie de -protocoale de răspuns-practic de parole unice-. Fiecare autentificare este diferită, astfel încât înregistrările devin inutile.
Compromisul dintre cost și securitate (și de ce nu este simplu)
Clienții ne întreabă mereu: cipurile mai scumpe înseamnă securitate mai bună?
Aproximativ da, dar nu este liniar.
| Tip de cip | Cost aproximativ | Stare de securitate |
|---|---|---|
| 125 kHz EM4100 | $0.10 | Nici unul |
| 13,56 MHz MIFARE Classic | ~$0.40 | Compromis (2008) |
| MIFARE DESFire EV3 | $1-2 | AES-128 / Înalt |
Un card EM4100 de 125 kHz ar putea costa 0,10 USD. Treceți la 13,56 MHz MIFARE Classic și vă aflați la 0,40 USD, dar securitatea nu este cu mult mai bună (criptarea acelui cip a fost spartă în 2008). Accesați MIFARE DESFire EV3 cu AES-128 și autentificare reciprocă, vă uitați la 1-2 USD per card, dar nu există exploatații publice cunoscute.
Întrebarea este: chiar ai nevoie de acel nivel?
Dacă urmăriți cheile într-o fabrică, pierderea uneia înseamnă a comanda o înlocuire. Dacă controlezi accesul la un seif bancar, un card clonat înseamnă ceva foarte diferit.
Sfatul nostru pentru clienți: începeți cu „care este cel mai rău caz dacă acest lucru este compromis?” apoi lucrați înapoi. În jumătate din timp nu este o problemă de tehnologie, este o problemă de percepție.
Ce poți face fără a înlocui totul
Unele situații necesită cu adevărat etichete ieftine-brățări pentru evenimente, etichete-de logistică de mare volum. Cipsele premium pentru orice nu sunt realiste. Dar ai alte variante:
Limitați intervalul de citire
Interval de citire mai lung nu este întotdeauna mai bun. NFC este proiectat pentru câțiva centimetri-practic trebuie să atingeți cititorul. Face skimmingul de la distanță mult mai dificil.
Unii clienți de-securitate ridicată cu care lucrăm instalează cititoare în carcase închise. Cardul trebuie introdus complet pentru a se înregistra. Blochează fizic atacurile-canalului lateral.
Ecran RFID
Principiul cuștii Faraday. Înveliți eticheta în material conductiv, undele radio nu pot intra sau ieși. Asta fac mânecile și portofelele care blochează RFID-. Producem și produse de ecranare-verificați secțiunea „Blocator de semnal RFID” de pe site-ul nostru.
Când nu utilizați cardul, acesta sta în mânecă. Nimeni nu o poate scana. Când aveți nevoie, scoateți-l. Simplu, eficient, ieftin.
Separați ID-ul de date
O altă abordare: stocați doar un ID aleatoriu, fără sens pe etichetă. Păstrați datele sensibile reale în baza de date backend. Chiar dacă cineva clonează eticheta, primește un șir inutil. Fără potrivirea înregistrărilor backend, este un gunoi.
Acest lucru transferă riscul de la etichetă la infrastructura serverului dvs. Dar reduce costurile etichetelor.
Autentificarea reciprocă-merită înțeleasă
Răspunsul la provocare{0}}menționat mai devreme. Permiteți-mi să extind acest lucru pentru că este adesea înțeles greșit.
Autentificarea RFID tradițională este un-mod: cititorul verifică eticheta. Dar aplicațiile de înaltă-securitate au nevoie de-autentificare în două sensuri-eticheta verifică, de asemenea, că cititorul este legitim.
Iată fluxul:
Cititorul trimite eticheta un număr aleatoriu (provocarea)
Tag rulează acel număr prin cheia sa internă, trimite înapoi rezultatul
Reader rulează același calcul cu aceeași cheie, compară
Apoi eticheta trimite cititorului un număr aleatoriu
Reader calculează, trimite înapoi, etichetă verifică
Ambele părți trebuie să treacă înainte de a avea loc orice schimb de date real. Înseamnă că un cititor fals nu poate păcăli etichetele să renunțe la informații.
MIFARE DESFire acceptă acest lucru. Aproape obligatoriu pentru orice proiect pe care îl facem cu bănci sau agenții guvernamentale.
Lucruri practice înainte de a pleca
1. Aflați ce lucrați în prezent
Multe companii au sisteme RFID instalate de cineva care a plecat cu ani în urmă. IT-ul actual nu are idee despre ce este implementat de fapt. Obțineți specificațiile de la furnizorul dvs.-cel puțin, cunoașteți frecvența și modelul de cip.
2. Cuantifică-ți cel mai rău caz
Dacă cardurile dvs. de acces sunt clonate, care este paguba? Dacă etichetele de inventar sunt modificate, care este expunerea? Pune un număr pe el. Apoi decideți dacă un upgrade merită.
3. Stratificați-vă securitatea
Nu totul are nevoie de protecție maximă. Insignele obișnuite ale angajaților pot rula jetoane de nivel mediu-. Ușile pentru camerele serverului și birourile financiare primesc cipuri de-securitate ridicată. Etichetele logistice de depozit pot fi ieftine cu verificarea backend.
4. Audit regulat
RFID nu este setat-și-uitați. Verificați jurnalele de acces pentru anomalii. Același card care apare în două locații simultan. După-ore încercări de acces. Modele care nu au sens.
5. Planificați upgrade-uri
Dacă bugetul este strâns acum și alegeți o soluție de nivel mediu-, alegeți cel puțin o arhitectură care să permită upgrade-uri viitoare. Nu vă blocați într-un sistem închis care necesită înlocuire completă în trei ani.
Întrebări? Facem asta de aproape două decenii la SYNTEK. Am văzut mai multe moduri de eșec decât v-ați aștepta. Indiferent dacă specificați un sistem nou sau auditați unul existent, vă bucurați să vorbiți.
Trimite anchetă

