Eğer erişim sisteminiz hala "kimliğe güveniyorsa", zamanınız kısıtlı demektir. Çoğu klonlanmış anahtarlık olayı Hollywood filmlerindeki gibi bir hackleme yöntemiyle başlamaz. Bunlar, bir tür kimlik doğrulama sistemiyle başlar. statik tanımlayıcı Tıpkı bir şifre gibi.
Bunu düzeltebilirsiniz. Tek bir sihirli düğmeyle değil, akıllıca bir kombinasyonla: Şifreleme, Beyaz listeler, Ve bir kimlik belgesini kopyalamayı çok daha az karlı hale getiren bazı operasyonel alışkanlıklar.
Eğer büyük ölçekte kimlik doğrulama malzemeleri (anahtarlıklar, kartlar, bileklikler, etiketler) tedarik ediyorsanız ve bunlara ihtiyacınız varsa... yazdırma + kodlama + doğrulama CXJ Akıllı Kart, tek bir akışta, bu tür bir dağıtım için tasarlanmıştır: doğrudan fabrikadan OEM/ODM, esnek minimum sipariş miktarı (MOQ), hızlı numuneler ve ISO standartlarında kalite kontrol. Daha fazla bilgi için inceleyin. RFID Anahtarlıklar Ve Özel RFID OEM/ODM Hizmetleri.
Klonlama genellikle şu şekilde görünür:
İşte asıl sorun: birçok dağıtım kimlik doğrulaması yapıyor. CSN/UID (kart seri numarası) ve işi bitmiş saymak. Bu, sadece kullanıcı adını kontrol edip şifreyi atlamak gibi bir şey. İyi değil.
Bunu pratik tutmak için, spesifikasyonunuza ekleyebileceğiniz hızlı bir argüman haritası aşağıda verilmiştir.
| Tartışma başlığı | Ne yapmalısınız? | İşe yaramasının nedenleri (basit bir dille) | Argüman kaynağı (harici bağlantı yok) |
|---|---|---|---|
| Yalnızca UID ile erişim kontrolü zayıftır. | UID'yi "parola" olarak görmeyin.“ | UID, birden fazla tehdit modelinde kopyalanabilir/taklit edilebilir. | Nethemba araştırması + gerçek dünya erişim kontrolü olay modelleri |
| Şifreleme + kimlik doğrulama | ISO/IEC 14443 kimlik bilgilerini meydan okuma/yanıt yöntemiyle kullanın. | Okuyucu, yalnızca bir sayıyı değil, kriptografik bir yanıtı doğrular. | RFID Dergisi uzman tartışmaları + satıcı güvenlik notları |
| Temel çeşitlendirme, patlama yarıçapını sınırlandırır. | Ana anahtardan kart başına anahtarlar türetin. | Sızan tek bir anahtar tüm filonuzu yakmaz. | NXP güvenlik uygulaması notları |
| MAC adresi, UID ve içerik üzerinden | UID ve veriler üzerinde bütünlük kontrolleri (MAC) ekleyin. | Kopyala-yapıştır düzenlemelerini ve tekrar oynatma hilelerini durdurur. | NXP güvenlik uygulaması notları |
| İzin verilenler listesine ekleme ve engelleme listesine ekleme | İzin verilenler listesini ve hızlı engelleme sürecini koruyun. | Çalınan/klonlanan kimlik bilgilerini hızlıca etkisiz hale getirebilirsiniz. | Entegratör en iyi uygulamaları + güvenlik operasyonları kılavuzları |
| Çevrimiçi kontrol | Kimlik bilgilerini çevrimiçi olarak doğrulayın (veya sık sık senkronize edin). | Klonun çalışabileceği "zaman aralığını" kısaltır. | Nethemba karşı önlemleri + kurumsal erişim kontrolü modelleri |
| Kimlik doğrulama teknolojisini yükseltin | Yüksek değerli kapılar için eski/zayıf kart teknolojisinden vazgeçin. | Zayıf temelleri sonsuza dek yamalayamazsınız. | Güvenlik araştırması konsensüsü + tedarikçi yol haritaları |
| Kilit yönetim | Kilitleme tuşu kullanımı, döndürme ve enjeksiyonu | Kripto para birimleri, anahtarların sızması durumunda başarısız olur, bu kadar basit. | NIST tarzı güvenlik kılavuzu + satıcı notları |
| Denetim kayıtları ve uyarılar | Anormallikleri kaydedin, ilişkilendirin ve uyarı verin. | Sessiz istismarı görünür olaylara dönüştürüyor. | Fiziksel güvenlikte kullanılan SOC izleme modelleri |
| Geçiş engelleme ve sona erme | Suistimali azaltmak için politika kontrolleri ekleyin. | Kopyalansa bile, bir kimlik belgesi hızla "yerleşir". | Erişim kontrolü işlemleri için en iyi uygulamalar |
Eğer sadece bir cümleyi hatırlamanız gerekiyorsa: Kimlik doğrulaması olmadan şifreleme yeterli değildir..
Kapılar için, şunları istersiniz: karşılıklı yetkilendirme / meydan okuma-yanıt Stil davranışı. Okuyucu bir meydan okuma gönderir, kimlik bilgisi yalnızca geçerli bir gizli anahtarın üretebileceği bir yanıtla karşılık verir. İşte o zaman "kimliği kopyalamak" işe yaramaz hale gelir.
Sahadan pratik bir ipucu: Wiegand ve eski kontrolcüler kullanıyorsanız, iletişim yolunu da modernize etmeyi düşünün (entegrasyon dünyasında OSDP Güvenli Kanal sıkça kullanılan bir terimdir). Klonlar tek risk değil; dinleme ve tekrar oynatma da yakınlarda bulunuyor.
Pek çok kurulum bu kısmı "çok kurumsal" olduğu gerekçesiyle atlıyor. Ancak aslında hafta sonunuzu kurtaran şey tam olarak bu.
Temel çeşitlendirme şu anlama gelir: her kart/anahtarlık kendi değerine sahiptir. sahip olmak Türetilmiş anahtar. Bir kimlik bilgisi açığa çıkarsa, hasarı yalnızca o kimlik bilgisiyle sınırlandırırsınız (tüm siteyi değil). Çeşitlendirme olmadan, tek bir sızıntı tüm filo sorununa dönüşebilir. Kimse filo sorunu istemez.
CXJ Smart Card burada devreye giriyor: Eğer zaten bir anahtar planınız varsa (UID/EPC/NDEF eşleştirmesi, çeşitlendirilmiş anahtar girişleri, seri kurallar), üretim sırasında kodlama ve doğrulamayı uyumlu hale getirerek verilerin dağıtıma hazır bir şekilde ulaşmasını sağlayabiliriz. Başlamak için: OEM/ODM Hizmetleri ve Ürünler katalog.
Bir şeyi düşünün. MAC Veriler için bir tür kurcalama önleyici mühür gibi. Şifreleme verileri gizler, ancak MAC (MacBook Auto) verilerin değiştirilmediğini kanıtlar.
Kimlik bilgileriniz yapılandırılmış veri (tesis kodları, uygulama verileri, sektör içeriği) içeriyorsa, UID + içerik üzerinden MAC adresi, "kopyala ve değiştir" saldırılarının doğrulama işlemini başarısız kılmasını sağlar. Göz alıcı değil, ama güçlü bir yöntem.
Evet, bunu biraz tekrarlıyorum çünkü asıl sebep bu.
Ucuz kurulumların çoğu şöyledir:
UID eşleşiyor → röle açılıyor.
Bu kimlik doğrulama değil, kimlik eşleştirme.
Eğer sisteminizi ortak çalışma alanlarına, spor salonlarına, paylaşımlı ofislere veya personel değişiminin sık olduğu herhangi bir yere gönderiyorsanız, yalnızca UID kullanmak esasen "ödünç alınmış kimlik bilgisi" dramasına davetiye çıkarmaktır.
Beyaz listeler (izin verilenler listeleri) basittir: yalnızca bu kimlik bilgileri A kapısını açmalıdır. Engellenenler listeleri ise acil durum frenidir: bu UID geçersizdir, kabul etmeyin.
Beyaz listelerin gerçekten işe yaramasını sağlayan şey hız + disiplindir:
Güzel bir gerçek senaryo: otel personeli anahtarları. Birisi anahtarlığını kaybettiğinde, her kilidi yeniden anahtarlamak istemezsiniz. Hemen yetkiyi iptal etmek istersiniz.
Çevrimiçi doğrulama, "sonradan ilgileniriz" ile "zaten çalışmayı durdurdu" arasındaki farktır.“
Kapıları çevrimiçi tutabiliyorsanız, bunu yapın. Yapamıyorsanız, en azından listeleri sık sık senkronize edin. Yüksek riskli kapılar (sunucu odaları, kasa ofisleri, envanter kafesleri) daha kısa senkronizasyon aralıklarını hak eder. Temel kapılar daha yavaş olabilir. Bu normaldir.
Gereken yerlerde daha güçlü teknoloji kullanın. Her kapının aynı güvenlik seviyesine ihtiyacı yoktur.
Bu nedenle, kimlik doğrulama kademelerinizi ayırın ve size en çok zarar verecek kapılar için eski kimlik doğrulama yöntemlerini kullanmayın.
Bu kısım sıkıcı, ama gerçek hayatta sistemlerin başarısız olduğu yer burası.
Anahtarlar sızarsa, şifreleme hikayeniz çok hızlı bir şekilde çok üzücü bir hal alır.
Erişim kontrol paneliniz zaten sinyaller üretiyor. Bunları kullanın.
Klon benzeri davranışları yakalayan uyarı örnekleri:
Çok karmaşıklaştırmayın. Birkaç kural ile başlayın. Sonra ince ayar yapın.
Politika kontrolleri kriptografinin yerini almayacak, ancak zararı azaltacak.
Küçük bir operasyonel alışkanlık: Ziyaretçi kimlik bilgilerinin varsayılan olarak otomatik olarak süresinin dolmasını sağlayın. İnsanlar unutur. Sistemler unutmamalı.
Güvenlik tasarımı mükemmel olsa bile, kimlik doğrulama tedarik zinciriniz düzensizse başarısız olabilir: farklı çip türleri, tutarsız UID kullanımı, özensiz baskı/kodlama, doğrulama raporu olmaması, parti takibinin olmaması. Projelerin başarısız olmasının nedeni budur.
CXJ Smart Card, anten/yerleştirme işleminden nihai ürüne kadar tek elden OEM/ODM hizmeti sunar; ayrıca baskı ve kişiselleştirme hizmetleri de sağlar ve kodlama planlarını (UID/EPC/NDEF eşleme, seri kuralları, yazma testi doğrulaması) destekleyebiliriz. Bakınız:
Eğer bir entegratörseniz, kazanım basit: hızlıca pilot uygulama yapın, ardından her şeyi yeniden yapmadan ölçeklendirin. Eğer bir son kullanıcıysanız, kazanım daha az "salı günü çalışıyor" sürprizi yaşamaktır. Çok çekici görünmeyebilir, ancak dağıtımların kalıcı olmasını sağlayan şey budur.
