Nếu hệ thống truy cập của bạn vẫn "tin tưởng vào ID", thì bạn đang sống trong tình trạng nguy hiểm. Hầu hết các vụ việc sao chép chìa khóa điện tử không bắt đầu bằng những cảnh hack kiểu Hollywood. Chúng bắt đầu từ một thiết lập xử lý ID một cách thiếu cẩn trọng. định danh tĩnh Giống như một mật khẩu vậy.
Bạn có thể khắc phục điều đó. Không phải chỉ bằng một thao tác thần kỳ, mà bằng một chuỗi thao tác hợp lý: Mã hóa, Danh sách trắng, và một số thói quen vận hành khiến việc sao chép thông tin xác thực trở nên kém hiệu quả hơn nhiều.
Nếu bạn đang tìm nguồn cung cấp giấy tờ tùy thân với số lượng lớn (thẻ từ, thẻ, vòng đeo tay, nhãn) và bạn muốn có chúng in + mã hóa + xác minh Trong một quy trình duy nhất, thẻ thông minh CXJ được thiết kế cho kiểu triển khai đó: OEM/ODM trực tiếp từ nhà máy, số lượng đặt hàng tối thiểu linh hoạt, mẫu nhanh chóng và kiểm soát chất lượng theo tiêu chuẩn ISO. Hãy xem thêm thông tin chi tiết tại đây. Móc khóa RFID Và Dịch vụ OEM/ODM RFID tùy chỉnh.
Việc nhân bản thường diễn ra như thế này:
Vấn đề cốt lõi là: nhiều hệ thống triển khai xác thực CSN/UID (số seri thẻ) rồi coi như xong. Điều đó giống như chỉ kiểm tra tên người dùng mà bỏ qua mật khẩu. Không tốt chút nào.
Để đơn giản và dễ hiểu, đây là sơ đồ lập luận nhanh mà bạn có thể đưa vào bản mô tả kỹ thuật của mình.
| Tiêu đề bài luận | Những việc bạn nên làm | Lý do tại sao nó hiệu quả (giải thích đơn giản) | Nguồn luận điểm (không có liên kết ngoài) |
|---|---|---|---|
| Kiểm soát truy cập chỉ dựa trên UID là yếu. | Đừng coi UID như "mật khẩu".“ | UID có thể được sao chép/mô phỏng trong nhiều mô hình đe dọa khác nhau. | Nghiên cứu của Nethemba + các mô hình sự cố kiểm soát truy cập thực tế |
| Mã hóa + xác thực | Sử dụng chứng chỉ ISO/IEC 14443 với cơ chế xác thực/phản hồi. | Máy đọc xác minh phản hồi mã hóa, chứ không chỉ là một con số. | Thảo luận chuyên gia trên tạp chí RFID + ghi chú bảo mật của nhà cung cấp |
| Đa dạng hóa chủ chốt hạn chế phạm vi ảnh hưởng của vụ nổ | Tạo khóa riêng cho từng thẻ từ khóa chính. | Một lỗi rò rỉ khóa sẽ không làm hỏng toàn bộ hạm đội của bạn. | Ghi chú ứng dụng bảo mật của NXP |
| MAC qua UID và nội dung | Thêm kiểm tra tính toàn vẹn (MAC) trên UID + dữ liệu | Ngăn chặn các thao tác chỉnh sửa "sao chép-dán" và các thủ thuật phát lại. | Ghi chú ứng dụng bảo mật của NXP |
| Danh sách cho phép và danh sách chặn | Duy trì danh sách cho phép + quy trình chặn nhanh | Bạn có thể nhanh chóng vô hiệu hóa thông tin đăng nhập bị đánh cắp/sao chép. | Các phương pháp thực hành tốt nhất dành cho nhà tích hợp + cẩm nang vận hành bảo mật |
| Kiểm tra trực tuyến | Xác thực thông tin đăng nhập trực tuyến (hoặc đồng bộ thường xuyên) | Cắt giảm "khoảng thời gian" mà một bản sao có thể hoạt động. | Các biện pháp đối phó của Nethemba + các mô hình kiểm soát truy cập doanh nghiệp |
| Nâng cấp công nghệ xác thực | Hãy loại bỏ công nghệ thẻ cũ/yếu cho các cửa có giá trị cao. | Bạn không thể vá những nền móng yếu mãi được. | Sự đồng thuận trong nghiên cứu bảo mật + lộ trình phát triển của nhà cung cấp |
| Quản lý chủ chốt | Kiểm soát chặt chẽ việc thao tác, xoay vòng và tiêm chìa khóa. | Mã hóa sẽ thất bại khi khóa bị rò rỉ, đơn giản vậy thôi. | Hướng dẫn bảo mật theo tiêu chuẩn NIST + ghi chú của nhà cung cấp |
| Nhật ký kiểm toán và cảnh báo | Ghi nhật ký, đối chiếu và cảnh báo về các bất thường. | Biến những hành vi lạm dụng thầm lặng thành những sự kiện công khai. | Các mô hình giám sát SOC được sử dụng trong an ninh vật lý |
| Chống chuyển hướng và hết hạn | Bổ sung các biện pháp kiểm soát chính sách để giảm thiểu lạm dụng. | Ngay cả khi được sao chép, thông tin xác thực cũng sẽ nhanh chóng bị "kẹt" lại. | Thực tiễn tốt nhất trong vận hành kiểm soát truy cập |
Nếu bạn chỉ nhớ được một câu: Mã hóa mà không kèm theo xác thực là chưa đủ..
Đối với cửa ra vào, bạn muốn xác thực lẫn nhau / thử thách-phản hồi Hành vi theo kiểu này. Người đọc gửi một thử thách, thông tin xác thực trả lời bằng một phản hồi mà chỉ khóa bí mật hợp lệ mới có thể tạo ra. Đó là lúc việc "sao chép ID" không còn hữu ích nữa.
Mẹo thực tế từ kinh nghiệm: nếu bạn đang sử dụng Wiegand và các bộ điều khiển cũ, hãy xem xét hiện đại hóa đường truyền thông (OSDP Secure Channel là thuật ngữ phổ biến trong giới tích hợp hệ thống). Việc sao chép dữ liệu không phải là rủi ro duy nhất; việc nghe lén và phát lại dữ liệu cũng tiềm ẩn nguy hiểm.
Nhiều người thường bỏ qua bước này trong quá trình triển khai vì cảm thấy nó "quá phức tạp đối với doanh nghiệp lớn". Nhưng thực tế, đây lại là phần giúp bạn tiết kiệm được cả cuối tuần.
Đa dạng hóa chủ chốt có nghĩa là: mỗi thẻ/móc khóa đều có... sở hữu Khóa dẫn xuất. Nếu một thông tin xác thực bị lộ, bạn chỉ gây thiệt hại cho thông tin xác thực đó (chứ không phải toàn bộ trang web). Nếu không đa dạng hóa, một vụ rò rỉ có thể trở thành vấn đề trên toàn hệ thống. Không ai muốn gặp phải vấn đề trên toàn hệ thống cả.
Giải pháp của CXJ Smart Card ở đây: nếu bạn đã có kế hoạch quản lý khóa (ánh xạ UID/EPC/NDEF, đầu vào khóa đa dạng, quy tắc nối tiếp), chúng tôi có thể đồng bộ hóa mã hóa + xác minh trong quá trình sản xuất để dữ liệu sẵn sàng cho việc triển khai. Bắt đầu với Dịch vụ OEM/ODM và Các sản phẩm danh mục.
Hãy nghĩ về một MAC Giống như một lớp niêm phong chống giả mạo cho dữ liệu. Mã hóa che giấu dữ liệu, nhưng MAC chứng minh rằng dữ liệu chưa bị sửa đổi.
Nếu thông tin xác thực của bạn chứa dữ liệu có cấu trúc (mã cơ sở, dữ liệu ứng dụng, nội dung khu vực), thì việc sử dụng MAC trên UID + nội dung sẽ khiến các cuộc tấn công "sao chép và chỉnh sửa" không vượt qua được quá trình xác thực. Nó không hào nhoáng, nhưng rất mạnh mẽ.
Vâng, tôi nhắc lại điều này một chút vì đây là nguyên nhân gốc rễ.
Nhiều dịch vụ lắp đặt giá rẻ thường mắc phải các lỗi sau:
UID khớp → máy chủ chuyển tiếp mở.
Đó không phải là xác thực. Đó chỉ là đối khớp ID.
Nếu bạn triển khai hệ thống vào không gian làm việc chung, phòng tập thể dục, văn phòng chia sẻ hoặc bất kỳ nơi nào có lượng người dùng thay đổi liên tục, việc chỉ sử dụng UID về cơ bản là đang tự chuốc lấy rắc rối về "thông tin đăng nhập mượn".
Danh sách trắng (danh sách cho phép) rất đơn giản: chỉ những thông tin đăng nhập này mới được phép mở Cửa A. Danh sách chặn là phanh khẩn cấp: UID này không hợp lệ, đừng chấp nhận nó.
Điều làm cho danh sách trắng thực sự hiệu quả là tốc độ + tính kỷ luật:
Một tình huống thực tế khá hay: chìa khóa của nhân viên khách sạn. Khi ai đó làm mất chìa khóa điều khiển từ xa, bạn không muốn phải làm lại chìa khóa cho tất cả các ổ khóa. Bạn muốn thu hồi quyền truy cập đó ngay lập tức.
Xác thực trực tuyến là yếu tố quyết định giữa "chúng ta sẽ khắc phục sau" và "nó đã ngừng hoạt động rồi".“
Nếu có thể, hãy giữ cho các cửa luôn hoạt động. Nếu không thể, ít nhất hãy đồng bộ danh sách thường xuyên. Các cửa có rủi ro cao (phòng máy chủ, phòng thu ngân, kho hàng) cần được đồng bộ với tần suất ngắn hơn. Các cửa thông thường có thể chậm hơn. Điều đó là bình thường.
Hãy sử dụng công nghệ mạnh mẽ hơn ở những nơi thực sự cần thiết. Không phải cánh cửa nào cũng cần cùng một mức độ bảo mật.
Vì vậy, hãy phân chia các cấp độ xác thực của bạn và đừng triển khai các chứng chỉ xác thực cũ cho những cổng có thể gây ra rủi ro lớn nhất.
Phần này nghe có vẻ nhàm chán, nhưng đây chính là điểm mà các hệ thống thường gặp trục trặc trong thực tế.
Nếu khóa mã hóa bị rò rỉ, câu chuyện mã hóa của bạn sẽ nhanh chóng trở nên tồi tệ.
Bảng điều khiển truy cập của bạn đã tạo ra tín hiệu. Hãy sử dụng chúng.
Ví dụ cảnh báo giúp phát hiện hành vi sao chép:
Đừng phức tạp hóa vấn đề. Hãy bắt đầu với một vài quy tắc đơn giản. Điều chỉnh sau.
Các biện pháp kiểm soát chính sách sẽ không thay thế được mã hóa, nhưng chúng giúp giảm thiểu thiệt hại.
Một thói quen nhỏ trong vận hành hệ thống: hãy thiết lập để thông tin đăng nhập của khách truy cập tự động hết hạn theo mặc định. Mọi người thường hay quên, nhưng hệ thống thì không nên quên.
Thiết kế bảo mật có thể hoàn hảo nhưng vẫn thất bại nếu chuỗi cung ứng chứng chỉ của bạn lộn xộn: nhiều loại chip khác nhau, xử lý UID không nhất quán, in/mã hóa cẩu thả, không có báo cáo xác minh, không có khả năng truy xuất nguồn gốc lô hàng. Đó là cách các dự án bị "ám ảnh".
CXJ Smart Card cung cấp dịch vụ OEM/ODM trọn gói từ ăng-ten/lớp phủ đến sản phẩm hoàn chỉnh, bao gồm cả in ấn và cá nhân hóa, và chúng tôi có thể hỗ trợ các kế hoạch mã hóa (ánh xạ UID/EPC/NDEF, quy tắc nối tiếp, xác minh kiểm tra ghi). Xem thêm:
Nếu bạn là nhà tích hợp hệ thống, lợi ích rất đơn giản: triển khai thử nghiệm nhanh chóng, sau đó mở rộng quy mô mà không cần làm lại mọi thứ. Nếu bạn là người dùng cuối, lợi ích là giảm thiểu những bất ngờ kiểu "nó hoạt động vào thứ Ba". Điều này không hào nhoáng, nhưng chính nó giúp các triển khai được duy trì lâu dài.
