文/黃力堯(南針科技總經理)
辦公大樓用門禁卡代替打卡,住家大樓用感應卡代替鑰匙,悠遊卡即將可以當電子錢包,信用卡也有感應式付款……。感應式卡片雖然方便,但它們真的安全嗎?如 果有設備可以隔空複製,不需要取得你的卡片,只要經過你身邊就可以做出一模一樣的東西,連晶片密碼保護設計都可破解,你還敢把這些卡帶在身上嗎?
我們所使用的悠遊卡安全嗎? 目前市面上有一種長距離感應卡讀取器,能夠隔著遠距離讀取到感應卡的號碼,並進一步進行卡片複製。聽起來是不是很恐怖啊?如此一來,使用悠遊卡或是VISA感應信用卡付款,不就一點保障也沒有了嗎?
其實別擔心!若真如此,用來搭公車與捷運的悠遊卡與高雄一卡通系統,應該早就偽卡滿天飛,導致整個系統早就崩潰。不過,這件事情雖然並非沒有發生的可能, 但機會並不大。而這要從悠遊卡等消費用感應卡的保護機制談起。此類用於消費用途的感應卡,既然要能夠儲存客戶的金錢,自然在安全防護方面是馬虎不得。
以悠遊卡所採用的「NXP MiFARE S50」感應儲值晶片而言,內部分為16個各自獨立的儲值資料區塊,每個區塊都有A與B兩組不同讀寫權限的密碼保護。「MiFARE感應卡」本身並不會完 全被動接受讀卡機的讀寫指令,而是只在讀卡機提供了正確的密碼時,卡片才會接受讀卡機的指令,進而對卡片內儲存的額度進行增值或減值的運算。
此外,還有感應卡消費系統的後台稽核機制對整套系統進行保護。假設「MiFARE感應卡」本身的讀寫密碼遭到竊取,或有人私下持有具備正確感應卡讀寫密碼 的讀寫設備,並對感應卡進行私人加值(可能是系統商或營運商內部的不肖員工所為),這樣就出現了感應卡內部儲存的金額與後台清算系統不一致的情形。
一個設計良好的感應卡消費後台系統,可以在每次的消費時檢測出這種不正常的加值情形,並且拒絕交易,更進一步將該卡列入黑名單中,永遠拒絕該卡片繼續使 用。因此,有人對消費用感應卡進行私下加值,並用於消費一事並非沒有發生的可能,但是整套系統若規劃得宜,所造成的損害可以控制在一定的程度之內。
最重要的是,MiFARE感應卡在設計之初已經考慮到這個問題,因此將卡片的讀寫距離控制在最大只有10公分而已(這是最理想的情況,一般會略少於這個距 離),而不像EM感應卡可以在80–100公分之遙進行讀取。因此,小偷想要偷到你的錢,還得真的靠那麼近才行,這成為一件不太容易發生的事;除非正在睡 覺或很親近的人,否則旁人靠這麼近難到不會發現嗎?
▲長距離感應卡讀取器能隔著80到100公分的遠距離讀取到感應卡片的號碼。
想知道更多不為人知的電腦密技嗎?請看「
密技偷偷報【密】字第肆拾伍號」
※瀏覽本期《密技偷偷報》所有超連結:
http://totalpost.pcuser.com.tw 
留言列表
留言列表
