網(wǎng)絡(luò)安全意識(shí) | 物業(yè)收費(fèi)50一張的門(mén)禁卡安全嗎

移動(dòng)支付大行其道的現(xiàn)在，錢(qián)包已經(jīng)名副其實(shí)的成為了卡包。從門(mén)禁卡到購(gòu)物儲(chǔ)值卡糙及；從借記卡到信用卡，各種卡片的安全性也愈發(fā)的重要筛欢。筆者查閱了網(wǎng)路上各種關(guān)于門(mén)禁卡浸锨、銀行卡的相關(guān)文章，對(duì)于門(mén)禁卡來(lái)說(shuō)版姑，目前市面上主流為低頻（125Khz）EM卡和高頻（13.56Mhz）M1卡柱搜。

降維來(lái)說(shuō)，低頻卡就是常見(jiàn)鑰匙扣型的門(mén)禁卡剥险，其中只儲(chǔ)存ID聪蘸。高頻卡就是常見(jiàn)的會(huì)員卡、儲(chǔ)值卡表制，不僅存儲(chǔ)了ID也儲(chǔ)存金額等相關(guān)數(shù)據(jù)宇姚。不過(guò)目前，因?yàn)榭ㄆ杀据^低夫凸，低頻ID卡已經(jīng)慢慢的退出了公眾視野浑劳，高頻卡也開(kāi)始作為門(mén)禁卡來(lái)使用，僅使用其中的UID進(jìn)行判斷夭拌。

在M1卡大行其道的如今魔熏，其安全性也深受關(guān)注。在使用M1卡時(shí)鸽扁，很多使用人員不了解相關(guān)安全機(jī)制蒜绽，使用默認(rèn)密鑰進(jìn)行加密。但如果知道密鑰就可以對(duì)卡中余額等數(shù)據(jù)進(jìn)行修改桶现，就像當(dāng)年的北京一卡通一樣躲雅。

不僅如此M1卡出現(xiàn)了很多可以修改UID的變種卡，可以對(duì)現(xiàn)有卡片進(jìn)行克隆骡和。對(duì)于門(mén)禁來(lái)說(shuō)相赁，很難分辨出兩者區(qū)別相寇，如果卡片相關(guān)信息沒(méi)有數(shù)據(jù)庫(kù)進(jìn)行統(tǒng)一存儲(chǔ)就有可能造成兩張卡都余額可使用的風(fēng)險(xiǎn)。

• UID卡 (國(guó)外稱GEN1) 钮科，所有區(qū)塊可被重復(fù)讀寫(xiě)唤衫，卡片ID可改且使用后門(mén)指令更改ID，ID可被重復(fù)修改響應(yīng)后門(mén)指令(意味著可被使用后門(mén)指令檢測(cè)是否為克隆卡的機(jī)器發(fā)現(xiàn))绵脯。
• CUID卡(國(guó)外稱GEN2)佳励，所有區(qū)塊可被重復(fù)讀寫(xiě)，卡片ID可改且使用普通寫(xiě)指令更改ID蛆挫，ID可被重復(fù)修改赃承，不響應(yīng)后門(mén)指令(意味著不容易被反克隆系統(tǒng)發(fā)現(xiàn))。
• FUID卡(國(guó)外稱GEN2)悴侵，0區(qū)塊可寫(xiě)且僅可寫(xiě)入一次楣导，使用普通寫(xiě)指令更改ID，更“反克隆”畜挨。

看到這里，我們大概可以了解到噩凹，目前被廣泛使用的M1卡幾乎沒(méi)有安全性巴元。對(duì)他進(jìn)行克隆的難度僅在是否可以靠近接觸到，也就是現(xiàn)在所謂“近源”驮宴。那是不是只要門(mén)禁卡不被旁人接觸到就可以保護(hù)它的安全呢逮刨？答案是不是的。

筆者在一次對(duì)自家小區(qū)的門(mén)禁進(jìn)行測(cè)試時(shí)發(fā)現(xiàn)堵泽，鑰匙扣上有著一串ID號(hào)修己。

將10進(jìn)制的ID號(hào)轉(zhuǎn)換成16進(jìn)制,得到F2617F55，那這一串ID號(hào)到底意味著什么呢迎罗？

我們使用安卓上的MifareClassicTool(MCT)讀取門(mén)禁卡獲取其UID號(hào)：

果不其然睬愤，門(mén)禁卡上刻制的ID號(hào)經(jīng)過(guò)進(jìn)制轉(zhuǎn)化就可得到其UID。那么這就意味著纹安，只要門(mén)禁卡上的ID被泄露出去尤辱，攻擊者使用此UID克隆一張新卡，那么門(mén)禁的安全作用就幾乎喪失了厢岂。不僅是遺失門(mén)禁卡光督、被陌生人復(fù)制會(huì)導(dǎo)致，就算在某張照片中不小心泄露了門(mén)禁卡的信息一樣會(huì)導(dǎo)致嚴(yán)重的后果塔粒。

面對(duì)著不再安全的門(mén)禁以及50一張卡的物業(yè)结借，在這里給大家?guī)讉€(gè)增強(qiáng)安全的小建議：

• 保管好門(mén)禁卡，以防遺失或不經(jīng)意間被克隆卒茬。
• 拍照時(shí)注意不要將門(mén)禁卡相關(guān)信息泄露出去船老。
• 建議收50一張卡的物業(yè)早日更換M1卡為安全性更高的CPU卡咖熟。

比起門(mén)禁卡和儲(chǔ)值卡，銀行卡安全性的要求更高努隙。因?yàn)椴徽撌墙栌浛ㄟ€是信用卡球恤，它們的作用除了卡面的酷炫和好看之外，主要還是用于支付荸镊。那它們的安全性到底如何咽斧，下圖是安裝支付寶使用NFC可以讀出的信息列表：

由于安全性原因，目前支付寶已經(jīng)對(duì)獲取到的信息進(jìn)行了隱藏處理：

筆者手中有農(nóng)業(yè)銀行躬存，民生銀行张惹，招商銀行，平安銀行四家的借記卡岭洲。使用Proxmark3測(cè)試后發(fā)現(xiàn)宛逗，民生銀行、招商銀行盾剩、平安銀行都使用了安全系數(shù)較高的CPU卡雷激，而農(nóng)業(yè)銀行使用了比常見(jiàn)M1卡安全一些的MIFARE DESFire卡。農(nóng)行真是一個(gè)很神奇的銀行告私，也受到大多數(shù)電信詐騙人員的喜愛(ài)屎暇。

這時(shí)候不得不提一下Proxmark3的嗅探功能，簡(jiǎn)而言之驻粟，只要把銀行卡放到PM3天線上根悼，在手機(jī)讀取銀行卡信息前執(zhí)行嗅探命令。然后再把手機(jī)緊貼銀行卡蜀撑，讀取銀行卡信息挤巡。Proxmark3就可以獲嗅探到銀行卡與手機(jī)之間的通訊的數(shù)據(jù)，解碼之后就可以獲取到上述表中所列的所有明文數(shù)據(jù)--全卡號(hào)酷麦、交易記錄矿卑、電子錢(qián)包余額。

非接觸式銀行卡內(nèi)儲(chǔ)存?zhèn)€人信息的多少以及敏感程度是由發(fā)卡行決定沃饶，并非銀聯(lián)規(guī)定粪摘，因此造成了實(shí)際上銀行卡泄露個(gè)人信息的多少無(wú)法確定。如果銀行卡未經(jīng)授權(quán)或是在不經(jīng)意間被人使用NFC設(shè)備讀取了信息绍坝，可能導(dǎo)致銀行卡號(hào)徘意、證件號(hào)碼、姓名以及交易記錄等敏感信息被竊取轩褐。

這里給大家提出幾條針對(duì)銀行卡建議供參考：

• 開(kāi)啟相關(guān)轉(zhuǎn)賬提醒椎咧，短信提醒、微信、支付寶提醒均可勤讽，在異常轉(zhuǎn)賬后第一時(shí)間進(jìn)行凍結(jié)蟋座。
• 拍照時(shí)注意卡片是否出鏡，防止敏感信息泄露脚牍，這點(diǎn)對(duì)于信用卡尤其重要向臀。
• 對(duì)經(jīng)常使用并攜帶的銀行卡可以選擇屏蔽卡套，現(xiàn)在市面上已有很多可供大家選擇诸狭。