解讀非接觸式智能卡安全與對(duì)策
文章出處:http://m.luckydriving.com 作者:李娟 人氣: 發(fā)表時(shí)間:2011年10月10日
技術(shù)本身是中立的,但是使用技術(shù)的人卻是需要質(zhì)疑的。我們必須意識(shí)到非接觸式智能卡種技術(shù)不會(huì)消失,而會(huì)變得比傳統(tǒng)的信用卡技術(shù)更安全,因?yàn)闀?huì)有越來(lái)越多越好的技術(shù)來(lái)保證你的個(gè)人信息與隱私安全。
現(xiàn)在越來(lái)越多的非接觸式智能卡開(kāi)始走入人們的日常生活中,如公交卡、銀行信用卡等。一些卡中的IC芯片是可見(jiàn)的,但大多數(shù)的非接觸式卡并不被人們所認(rèn)識(shí),以致于人們可能意識(shí)不到非接觸式卡所帶來(lái)的安全隱患。
這也難怪,因?yàn)榉墙佑|式卡與普通卡片的不同之處僅在于其在交易時(shí)信息傳遞的方式。傳統(tǒng)的磁卡主要由磁條起作用,而非接觸式卡的“大腦”是一個(gè)標(biāo)簽。標(biāo)簽由一個(gè)或一組半導(dǎo)體芯片和天線組成,通過(guò)天線對(duì)進(jìn)出芯片的射頻信號(hào)進(jìn)行中繼和傳送。這種無(wú)源RFID技術(shù)的工作原理并不為大眾所知,因此對(duì)于非接觸式卡的擔(dān)憂也就在情理之中了。
對(duì)于非接觸式信用卡來(lái)說(shuō),能讓大眾理解這三方面的問(wèn)題,就能緩解其擔(dān)憂了。
1.非接觸式卡芯片中存儲(chǔ)的信息
2.芯片是否安全
3.芯片的工作頻率和數(shù)據(jù)傳送標(biāo)準(zhǔn)
非接觸式卡中所存儲(chǔ)的信息與傳統(tǒng)的磁卡中所存儲(chǔ)的信息相同,一般包括持卡人姓名、地址、卡號(hào)和密碼。還可能包括一些其他的信息,如持卡人生日,還有一些高度敏感的個(gè)人信息。非接觸式卡的體積很小,但其存儲(chǔ)容量一般有幾兆字節(jié)。
非接觸式卡所用的芯片通常是安全的。一個(gè)芯片的存儲(chǔ)可通過(guò)讀寫(xiě)指令加以改變,并支持加密。這意味著芯片內(nèi)不僅包含著只可一次寫(xiě)入的固定的信息如個(gè)人信息,還包含有可以保護(hù)靜態(tài)數(shù)據(jù)的加密信息。
芯片天線允許芯片與讀寫(xiě)器之間利用射頻信號(hào)進(jìn)行通信。RFID信用卡所需能量由讀寫(xiě)器射頻場(chǎng)來(lái)提供,之后接受指令和數(shù)據(jù),進(jìn)行相應(yīng)的操作。這種通信方式可防止遠(yuǎn)距離的識(shí)讀。用于RFID信用卡和讀寫(xiě)器的頻率較高,該頻率也用于標(biāo)識(shí)動(dòng)物或用于供應(yīng)鏈管理系統(tǒng)。大多數(shù)用于信用卡的工作頻率為13.56MHz,符合ISO14443標(biāo)準(zhǔn)。
非接觸式智能卡應(yīng)用日漸廣泛
讀寫(xiě)器工作的13.56MHz頻率相比于手機(jī)工作的超高頻(800MHz—1800MHz)較低。但實(shí)際上,13.56MHz的讀寫(xiě)距離依賴于標(biāo)簽尺寸和讀寫(xiě)器類型,一般可達(dá)1米(3.28英尺)。
ISO14443標(biāo)準(zhǔn)主要包括四部分的標(biāo)準(zhǔn),用于近距離非接觸式智能卡。一般讀寫(xiě)范圍可達(dá)10厘米(4英寸)。ISO14443標(biāo)準(zhǔn)支持認(rèn)證機(jī)制,如加密。
數(shù)據(jù)傳輸速率受讀寫(xiě)器與芯片間所放置物質(zhì)的影響,如金屬對(duì)射頻信號(hào)的反射作用?;诖嗽恚陔娮幼o(hù)照的側(cè)邊上有一個(gè)細(xì)金屬條,在護(hù)照未打開(kāi)時(shí)可以防止護(hù)照的讀取。但金屬也可能在讀寫(xiě)器與智能卡之間產(chǎn)生噪聲或打破讀寫(xiě)器與標(biāo)簽的調(diào)諧,因而很可能對(duì)該頻率與數(shù)據(jù)傳送標(biāo)準(zhǔn)造成影響。
因此有必要注意以保護(hù)非接觸式智能卡及存儲(chǔ)的信息的安全。如RFID技術(shù)業(yè)界領(lǐng)袖、世界最大的RFID標(biāo)簽芯片制造商德州儀器公司所說(shuō),RFID的應(yīng)用規(guī)模會(huì)越來(lái)越大,但是最終的決定權(quán)在用戶手中。
以下是五條提示,有助于更加安全的使用非接觸式信用卡。
1.與信用卡所使用的無(wú)源技術(shù)不同的是,你必須采取積極主動(dòng)的姿態(tài),以保護(hù)你的資料。給你的信用卡公司打電話詢問(wèn)你的卡是"非接觸"卡還是傳統(tǒng)卡。如果是非接觸式卡,你有要求更換一個(gè)傳統(tǒng)卡,因?yàn)槟憔芙^使用RFID技術(shù)。
2.詢問(wèn)信用卡公司關(guān)一頻率與ISO的有關(guān)情況。如果這兩項(xiàng)與上述所說(shuō)的一致(13.56MHz,ISO14443標(biāo)準(zhǔn)),那很好。如果不一致,就得問(wèn)個(gè)為什么并要求得到更加詳細(xì)的信息。
3.詢問(wèn)信用卡的加密方法。非接觸式卡上的密碼可為32位至128位。
4.詢問(wèn)信用卡公司的欺詐檢測(cè)和其他預(yù)防措施。
5.購(gòu)物時(shí)小心。技術(shù)在發(fā)展,但總是晚黑客一步。所以在進(jìn)行電子網(wǎng)上交易或在實(shí)際購(gòu)物的過(guò)程中,你得加倍小心。
技術(shù)本身是中立的,但是使用技術(shù)的人卻是需要質(zhì)疑的。另一方面,你必須意識(shí)到這種技術(shù)不會(huì)消失,而會(huì)變得比傳統(tǒng)的信用卡技術(shù)更安全,因?yàn)闀?huì)有越來(lái)越多越好的技術(shù)來(lái)保證你的個(gè)人信息與隱私安全。