解讀非接觸式智能卡安全與對策
文章出處:http://www.sgrivertours.com 作者:李娟 人氣: 發(fā)表時間:2011年10月10日
技術本身是中立的,但是使用技術的人卻是需要質疑的。我們必須意識到非接觸式智能卡種技術不會消失,而會變得比傳統(tǒng)的信用卡技術更安全,因為會有越來越多越好的技術來保證你的個人信息與隱私安全。
現(xiàn)在越來越多的非接觸式智能卡開始走入人們的日常生活中,如公交卡、銀行信用卡等。一些卡中的IC芯片是可見的,但大多數(shù)的非接觸式卡并不被人們所認識,以致于人們可能意識不到非接觸式卡所帶來的安全隱患。
這也難怪,因為非接觸式卡與普通卡片的不同之處僅在于其在交易時信息傳遞的方式。傳統(tǒng)的磁卡主要由磁條起作用,而非接觸式卡的“大腦”是一個標簽。標簽由一個或一組半導體芯片和天線組成,通過天線對進出芯片的射頻信號進行中繼和傳送。這種無源RFID技術的工作原理并不為大眾所知,因此對于非接觸式卡的擔憂也就在情理之中了。
對于非接觸式信用卡來說,能讓大眾理解這三方面的問題,就能緩解其擔憂了。
1.非接觸式卡芯片中存儲的信息
2.芯片是否安全
3.芯片的工作頻率和數(shù)據(jù)傳送標準
非接觸式卡中所存儲的信息與傳統(tǒng)的磁卡中所存儲的信息相同,一般包括持卡人姓名、地址、卡號和密碼。還可能包括一些其他的信息,如持卡人生日,還有一些高度敏感的個人信息。非接觸式卡的體積很小,但其存儲容量一般有幾兆字節(jié)。
非接觸式卡所用的芯片通常是安全的。一個芯片的存儲可通過讀寫指令加以改變,并支持加密。這意味著芯片內(nèi)不僅包含著只可一次寫入的固定的信息如個人信息,還包含有可以保護靜態(tài)數(shù)據(jù)的加密信息。
芯片天線允許芯片與讀寫器之間利用射頻信號進行通信。RFID信用卡所需能量由讀寫器射頻場來提供,之后接受指令和數(shù)據(jù),進行相應的操作。這種通信方式可防止遠距離的識讀。用于RFID信用卡和讀寫器的頻率較高,該頻率也用于標識動物或用于供應鏈管理系統(tǒng)。大多數(shù)用于信用卡的工作頻率為13.56MHz,符合ISO14443標準。
非接觸式智能卡應用日漸廣泛
讀寫器工作的13.56MHz頻率相比于手機工作的超高頻(800MHz—1800MHz)較低。但實際上,13.56MHz的讀寫距離依賴于標簽尺寸和讀寫器類型,一般可達1米(3.28英尺)。
ISO14443標準主要包括四部分的標準,用于近距離非接觸式智能卡。一般讀寫范圍可達10厘米(4英寸)。ISO14443標準支持認證機制,如加密。
數(shù)據(jù)傳輸速率受讀寫器與芯片間所放置物質的影響,如金屬對射頻信號的反射作用。基于此原理,在電子護照的側邊上有一個細金屬條,在護照未打開時可以防止護照的讀取。但金屬也可能在讀寫器與智能卡之間產(chǎn)生噪聲或打破讀寫器與標簽的調諧,因而很可能對該頻率與數(shù)據(jù)傳送標準造成影響。
因此有必要注意以保護非接觸式智能卡及存儲的信息的安全。如RFID技術業(yè)界領袖、世界最大的RFID標簽芯片制造商德州儀器公司所說,RFID的應用規(guī)模會越來越大,但是最終的決定權在用戶手中。
以下是五條提示,有助于更加安全的使用非接觸式信用卡。
1.與信用卡所使用的無源技術不同的是,你必須采取積極主動的姿態(tài),以保護你的資料。給你的信用卡公司打電話詢問你的卡是"非接觸"卡還是傳統(tǒng)卡。如果是非接觸式卡,你有要求更換一個傳統(tǒng)卡,因為你拒絕使用RFID技術。
2.詢問信用卡公司關一頻率與ISO的有關情況。如果這兩項與上述所說的一致(13.56MHz,ISO14443標準),那很好。如果不一致,就得問個為什么并要求得到更加詳細的信息。
3.詢問信用卡的加密方法。非接觸式卡上的密碼可為32位至128位。
4.詢問信用卡公司的欺詐檢測和其他預防措施。
5.購物時小心。技術在發(fā)展,但總是晚黑客一步。所以在進行電子網(wǎng)上交易或在實際購物的過程中,你得加倍小心。
技術本身是中立的,但是使用技術的人卻是需要質疑的。另一方面,你必須意識到這種技術不會消失,而會變得比傳統(tǒng)的信用卡技術更安全,因為會有越來越多越好的技術來保證你的個人信息與隱私安全。