Che l’è la sicureza di dati RFID?
Dec 10, 2025
Identifegad
Che l’è la sicureza di dati RFID?
L’an passà un client g’ha telefonà, inrabià. I luur schede de cuntrol d’access sun stà “piratà”. El se dis che l’eran ancamò drée a duperà schede de prossimità a 125kHz de des an fa. Quaivun g’ha passà un impiegà in de la metropolitana cunt un dispusitif de dimensiun de telefon - e la matina dopu, luur magasin l’è stà entrà de una part minga cognusüda duperand una scheda clùnada.
Fasem prudott RFID a SYNTEK per circa 20 an. Stori cuma quest sun minga rar. G’hem vist che i società spenden miliun süi sistèm de monitoragg di risursi, sultant per descuvrir che qual-sa-vöör letur de 30 dolar de AliExpress pœu riscrif i luur tag. G’hem vist i sistem de presenza giügad cun schede duplicad-istess numer de scheda che cumpariven in tri cità diferent a la volta.
“La sicureza di dati RFID la par cumplicada, ma el prublema principal l’è facil: i segnai senza fil pœden vèss intercettà. La part cumplicada? La magiur part di cumpradur g’ha minga idea de che livel de sicureza sun drée a ottener.”
Ecco la cosa che nissun parla
RFID l’è un sistèm senza fil avert. El tò tag e el tò letur comunican travers di onde radio. Chiunque cun l’attress giüst pœu ascultà.
La comunicazion senza fil la se verifica a l’aria aperta e la rend possibla l’intercezion senza contat fisic.
El prublema l’è cumincià prest. Quand i produtur g’han prugetà per la prima volta chesti chip, se sun cuncentrà sü “podem legel?” minga "te dovariam lassà legel?" Tanti chip g’han zeru autenticaziun. El letur dumanda "chi set?" e l'etichetta solo... rispond. L’è minga impurtant se l’è un dispusitif legitim o quai tip cunt un Proxmark in del zaino.
Figürates de caminar per la strada e de annunciar a voce alta el tò numer de la sicureza social a tüt chel che dumanda. L’è inscì che funzionan tanti schede RFID.
Perché i schedi 125kHz sun una barzelletta de sicureza
Ecco quaicoss che el setur fà minga publicità: un tocch grand de schede d’access duperà ancamò incœu funziunan sü la tecnologia di an ‘90.
Chesti schedi funzionan a 125kHz. El mudel del circuito l’è de solet EM4100 o TK4100. Cuma funzionan? Alimentaziun, ID de trasmisiun, fatt. Nissun critografia. Nissun autenticaziun. Sultant un numer fiss memorizà sül chip.
El custa clùnar un? Forsi $20 per un letur-scritur fœura Amazon, ancamò $5 per i schedi en bianch. Tri minut de laurà.
I client di volt dumandan: "Pœdet fär una scheda criptada a 125kHz?"
Risposta curta: no. El protocoll stess suporta no una seri sicureza. Vœut pruteziun, pass a volta frequenza o UHF de 13,56MHz, cun chip cuma MIFARE DESFire o ICODE DNA che suportan effetivament la critografia AES.
Cuma sun i atach
Sü la bas di conversaziun cunt i noster cliént, l’è chichinsci indué la sicureza RFID falliss en pratich:
Clonaziun de la scheda d’access
L’atacant g’ha minga bisogn de tuccà la tò scheda. Un letur cun guadagn volt-ascundù en una borsa de messagg, quai segund drée a ti en un ascensur o en una linea de pranz-che l’è assée per ciapà i dat. Scrivel sü una scheda en bianc e incœu g’han el tò accèss.
Una società de gestiun di proprietà g’ha cuntà de una seri de intrusiun in del luur cumpless residenzial. La polizia a la fin g’ha capì che el lader l’era drée a clùnar i schedi de acess di resident. I registr de entrada del edifiz? Tutt mustravan i numer de la carta di vitim. Nissüna traccia del vero intrus.
Manipolaziun di dat
Se el vòster sistèm RFID pista l’inventari o i beni, i tag cunservan i informaziun real, minga sultant i ID. L’è indué i ròbb diventan püsee disordinad.
I tag scrivibil sun prugetà per i aggiornament-funziun ütil. Ma senza pruteziun de scritüra, tüt pœden fär di cambiament. Quaivun in de la cadena de furniment scambia “grad standard” cun “premium” süi dati del tag o spingh innanz la data de produziun de ses mes. Succed.
Atach de riproduziun
Quest chi l'è furbo. L’atacant g’ha minga bisogn de descrif nient. Registran sultant la conversaziun intra el tò tag e el letur, e dopu la riprodusen dopu.
Pensa-la inscì: sguassa la tò scheda per dervir una pòrta e quaivun visin registra tüt chel scambi radio. La volta dopu, puntan el luur dispusitif al letur e cliccan play. La purta la se derva. El letur pensa che g’ha vist ancamò la tò scheda.
Per fermar chestu, i sistèm g’han bisogn de password de sfida-protocoi de rispòsta-fondamentalment de password de una -volta. Tüt i autenticaziun sun diferent, donca i registraziun diventan inütil.
El compromess intra el cust cuntra la sicureza (e perché l’è minga facil)
I client ne dumandan semper: i chip püsee cari significan una sicureza püsee bon?
Pressapoc sì, ma l’è minga linear.
| Tip de chip | Cust aprussimatif | Stat de sicureza |
|---|---|---|
| EM4100 a 125 kHz | $0.10 | Nissun |
| Classich MIFARE a 13,56 MHz | ~$0.40 | Compromess (2008) |
| MIFARE DESFòch EV3 | $1-2 | AES-128 / Alt |
Una scheda EM4100 a 125kHz podaria custar 0,10 $. Passa fin a 13,56MHz MIFARE Classic, e te set forsi a $0,40, ma la sicureza l’è minga tant püsee bella (la critografia de chel chip l’è stada crepada in del 2008). Vai a MIFARE DESFire EV3 cun AES-128 e autenticaziun reciproch, l’è drée a vardar $1-2 per scheda, ma g’he sun no di sfruttament publich cognussü.
La dumanda l’è: g’he bisugn de chel livel?
Se l’è drée a seguir i chiavi en una fabrica, perder una vœur dì urdenar una sostituziun. Se l’è drée a cuntrular l’acess a una volta bancaria, una scheda clùnada significa quaicos de parècc diferent.
El noster cunsigli ai cliént: cumencià cun “cusa l’è el cas püsee pegiur se chestu l’è cumprumess?” e dopu lavurà indrée. La metà del temp l’è minga un prublema tecnologich, l’è un prublema de perceziun.
Cossa pœdet fär senza sostituir tüt
Quai situaziun g’ha veramente bisogn de tag economich-braccialett per event, etichett logistic de volt-volum. I chip premium per tüt sun minga realistich. Ma g’he olter upziun:
Limitar l’interval de letura
Un interval de letura püsee luungh l’è minga semper püsee bon. NFC l’è prugetà per quai centimeter-g’he de tuccà el letur. Rend el skimming a distanza tant püsee dificil.
Quai client de volta -sicureza cun cui lavuram instalan di letur denter di custodi sarà. La scheda la g’ha de vèss inserida cumpletament per registrass. Blocca fisicament i atach lateral-canai.
Schermadura RFID
Principi de la gabia de Faraday. Involucra l’etichetta in del material conduttif, i onde radio pœden minga entrà o fœura. L’è chel che fan i maniche e i portafogli che blocan RFID-. Fasem anca di prudot de schermadura-cuntrular la seziun "Blocatur del segnal RFID" in del noster sit.
Quand che duperas no la scheda, la se mett in de la manica. Nessun pœu scansiunal. Quand g’he n’è bisogn, tiral fœura. Semplice, eficace, economico.
ID separà di dat
Un olter aprocc: cunservà sultant un ID casual e senza significà sül tag. Mantegni di dat sensibil real in del database del backend. Anca se quaivun clùna l’etichett, utten una stringa inütil. Senza i registr del backend curispundent, l’è spazzatura.
Chestu spusta el ris’c del tag a la vòstra infrastruttura del server. Ma mantegn bas i cust del tag.
Autenticaziun reciproca-la val la pena de cumprender
Menziunà la rispòsta a la sfida- prima. Permett-m de spandèr sü chestu perché l’è despess mal capì.
L'autenticaziun RFID tradiziunal l’è a mod unich: el letur verifich l’etichett. Ma i aplicaziun de volta sicureza-g’han bisogn de un’autenticaziun a dü vie-el tag verifich anca che el letur l’è legitim.
Ecco el fluss:
El letur manda un numer casual (la sfida)
Tag fà eseguir chel numer travers la sò ciaf interna, manda indrée el resultà
El letur fà l’istess calcul cun l’istess ciaf, cunfrunta
Quind el tag manda al letur un numer casual
El letur calcula, manda indrée, verifica l’etichett
Tüt i dü lat g’han de passà prima che suced un scambi de dati real. El vœur dì che un fals letur pœu minga truvà i tag per renuncià ai informaziun.
MIFARE DESFire suporta chestu. Pressapoc obbligatori per qual-sa-vöör prüget che femm cun di banch o di agenzi guvernatif.
Roba pratega prima de nar
1. Scupri cus’è che l’è drée a fà
Tanti aziend g’han di sistèm RFID installà de quaivun che l’è partì an fa. L’IT d’incœu g’ha nissun idea de chel che l’è distribuì. Ottien i specifich del fornidur-almen, cognoss la frequenza e el mudel del chip.
2. Quantifica el cas püsee pegiur
Se i vòster schedi de acess sun clùnà, che sun i dann? Se i etichett de inventari sun manometà, qual l’è l’esposiziun? Mett sü un numer. Poeu decidi se ne val la pena un aggiornament.
3. Livel de la vòstra sicureza
Minga tüt g’ha bisogn de la massima pruteziun. I badge di dipendent regular pœden fär funziunar chip de livel medi.{1}}. I port de la stanza del server e di ufici finanziari riceven chip de volt-sicureza. I tag de logistica del magasin pœden vèss economich cun la verifica del backend.
4. Verifica regolarment
RFID l’è minga impostà-e-desmentegà. Cuntrular i registr de acess per i anomali. La stess scheda che cumpariss en dü post cuntempuraneament. Dopu-our tentatif de acess. Mutif che g’han minga sens.
5. Planificà i agiornament
Se el budget l’è strècc incœu e se va cunt una soluziun de livel medi, almen scegli un’architetura che cunsent di agiornament futur. Blocca-t minga denter de un sistèm sarà che dumanda una sostituziun cumpleta en tri an.
Dumand? L’emm fad per quasi dü decenn a SYNTEK. Vist püsee modalità de guast de quant te se spetet. Se l’è drée a specificar un nœuf sistèm o a verificà un sistèm esistent, l’è cuntent de parlà.
studio