Menu
p_1_9_6_8_1968-Conf-da-100-Card-Bianche-RFID-125-KHz-Rread-Only

Quale Badge Tecnology?

0

Qui di seguito trovate alcune considerazioni che mi sono venute in mente di getto a cui prestare attenzione nella valutazione della tecnologia del badge da utilizzare nel futuro (se avete da aggiungere scrivetemi):

Over tecnology:

  • scegliere una tecnologia in base a cosa si deve proteggere, è inutile selezionare una tecnologia estremamente sofisticata se poi in effetti non si deve protegge nulla, diversamente se devi proteggere qualcosa di alto valore è bene che si vadano ad analizzare vari parametri tra cui robustezza nel tempo, diffusione, interfacciabilità e multi vendor
  • di solito i sistemi di controllo accessi utilizzano l’interfaccia wiegand per connettere lettori di badge, interfaccia che ha tutta una serie di problemi che vanno dal passaggio dei cavi al hackeraggio. Di conseguenza è bene prevedere nel cambio di tecnologia dei badge, anche una rivisitazione dei lettori di badge, andando ad acquistare lettori che prevedono l’interfaccia OSDP v2 e che sopportino la cifratura (da verificare se il controllore sopporti OSDP v.2).  Considerare anche l’opportunità di prendere lettori che hanno l’interfaccia LAN, che sicuramente ha dei livelli di protezione maggiori e una gestione più sofisticata della OSDP nonché tutto un altro approccio al concetto di controllo accessi (anche qui ci sarebbe da approfondire la problematica concentratore di campo verso server)
  • nel caso non abbiate molti soldi a disposizione è possibile proteggere le interfacce wiegand con opportune apparecchiature oppure utilizzando dei convertitori di protocollo wiegand-OSDP (ma è bene che state mettendo ‘n pezza che deve essere temporanea)
  • scegliere una tecnologia di badge che il proprio controllo accessi riesca a digerire senza troppe alchimie
  • per avere livelli di cifratura elevati, quindi sicurezza elevata, il pegno è la perdita della connessione RFID, cioè è solo disponibile la versione contact (vedi Mifare SAM con chiavi da 2K) questo dovrebbe far riflettere sul mondo del RF
  • per ambienti di alta sicurezza, va abbandonato il badge, o meglio va aggiunto al badge il biometrico, va fatta una considerazione su dove viene memorizzato il templete del biometrico, ovviamente va messo almeno su un badge a tecnologia DESFire oppure direttamente su Server (se il vostro DPO ve lo consente) tenendo conto di proteggere tutta la catena del controllo accessi
  • valutare anche l’opportunità di prendere lettori che utilizzino anche sistemi di comunicazione BLE e Ultra Wide Band (UWB) per l’identificazione via Mobile (a patto che la comunicazione sia cifrata)
  • considerate anche i tempi tra sostituzione dei lettori di badge, ove necessario, e sostituzione dei badge, fondamentale avere un sistema di controllo accessi che consenta di detenere più badge attivi per singola persona oppure pensare ad una transizione
  • date anche una occhiata alla dimensione della di memoria a disposizione (1, 4, 8, 16K) specialmente se avete più templete o molti dati da memorizzare
  • vi ricordo anche che quasi tutti questi sistemi usano la cifratura simmetrica, quindi dovete saperla gestire, nonché prevedere le frequenze di refresh delle chiavi
  • tempo fa la NXP tirò fuori il modello SmartMX che permetteva di caricare a bordo del badge applicativi prodotti dai clienti stessi e che potevano reagire diversamente in base al sistema che li leggeva, ma mi sa che non ci sono più
  • ovviamente ci sono anche altre tecnologie ma ricordate il detto “è bene affogarsi nel mare profondo perché in quello basso ci si fa male”
    iclass-seos-card-800x800

    Nel caso di scelta SeoS di HID va considerato che:

    • la tecnologia Seos si basa sul concetto di contenitore e token crittografato legato al supporto (badge) con cifratura AES-128/2TDEA
    • tale tecnologia è proprietaria di HID e quindi viene letta solo da lettori HID (??), che notoriamente è un monopolista (AssaAbloy) e non proprio economico, in quanto stiamo parlando di prodotti di alta qualità e robustezza; considerare bene che tale scelta che “vi fa fare sonni tranquilli”, implica legarsi mani e piedi a vita con HID
    • HID ha una alta diffusione sul mercato, di conseguenza è maggiormente presa di mira da hackers (vedi BlackHat, DefCon, etc.) sia lato badge sia lettori di badge e concentratori di campo
    • la tecnologia Seos è possibile averla nativa su badge combo ProxCard, Mifare, Legic, etc. quindi comoda per un eventuale migrazione da un precedente ambiente, a patto che vi ricordate di sistemare le interfacce wiegand
      mifare_logo_rgb

      Nel caso di scelta di Mifare DESFire ev2 va considerato che:

      • tale tecnologia è ampiamente diffusa, sono presenti molti produttori di lettori di badge che utilizzano vari sistemi di interfacciamento (wiegand, OSDP e LAN)
      • NXP ha una alta diffusione sul mercato, di conseguenza è maggiormente presa di mira da hackers (vedi BlackHat, DefCon, etc.) molti ci stanno lavorando, facendo solo badge il campo da gioco si restringe a questo settore
      • tecnologia che può essere acquistata da più vendor, quindi ad un prezzo di mercato
      • la cifratura prevede da 56 fino a 168 bit keys, quindi ancora al disotto dei livelli dei 256bit che ad oggi sono auspicabili
      • la tecnologia Mifare è possibile averla nativa su badge combo ProxCard, quindi comoda per un eventuale migrazione da un precedente ambiente, a patto che vi ricordate di sistemare le interfacce wiegand
      • la DESFire è retro compatibile con la Mifare Classic quindi comodo per un eventuale passaggio da Classic a DESFire

      Related Posts

      Lascia un commento

      Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *