RFID NFC w rozpoznawaniu użytkownika

[Gieneq]

Potrzebuję podpowiedzi co najlepiej sprawdzi się w identyfikacji użytkownika urządzenia.

Nie będę ukrywał że jestem zielony w tym temacie. Właśnie robię research ale może ktoś ma w tym lepsze doświadczenie i coś podpowie 🙂 

Use case jest podobny jak w drukarce - przytykam token RFID 13.56 MHz, urządzenie coś odczytuje, łączy się z lokalnym serwerem, sprawdza kto ja jestem, jak zrobie skan wyśle na maila przypisanego do mnie.

W docelowym urządzeniu nie ma skanera, ale są pomiary, które będzie się wysyłać na maila osoby która przytknie swój token.

• Czy tokeny RFID 13.56 MHz to najlepsze co tu można wymyśleć?
• Czy NFC ma jakieś zalety? Jeżeli tak to jaki standard?
• Czy integracja ze smartphonem to coś użytecznego czy niepotrzebny marketingowy bajer?

Przykładowo układ z evalboard M24SR64 jest dla mnie zagadką, jak to się dzieje że wspiera oba standardy:

Cytat

The M24SR64-Y device is a dynamic NFC/RFID tag IC with a dual interface. It embeds an EEPROM memory. It can be operated from an I2C interface or by a 13.56 MHz RFID reader or an NFC phone.

 

Edytowano Sierpień 1, 2023 przez Gieneq

[Elvis]

@Gieneq Standardów jest dużo więcej niż się w pierwszej chwili może wydawać więc niełatwo jest napisać co jest "najlepsze". Proponuję zacząć od zastanowienia się jakiego poziomu bezpieczeństwa oczekujesz. Proste karty czy identyfikatory można łatwo skopiować, ale są tanie i łatwe w obsłudze. Ale jeśli to nie problem to może nawet coś na 125kHz wystarczy.

[Gieneq]

Cześć @Elvis  tak myślałem że napiszesz, widziałem w innych tematach że coś o tym wiesz 🙂 słuszna uwaga, nie myślałem o kwestii bezpieczeństwa. Urządzenie jest przewidziane dla firm z kilkoma użytkownikami, to ma być bardziej dla wygody niż bezpieczeństwa.

Ale pomyślałem że jest jeden wrażliwy kanał. Do tej pory dostęp do serwisowego HMI był przez wyklikanie sekwencji na niewidzialnych przyciskach na ekranie. Możnaby dodać tag serwisowy w którym zmienia się układ HMI, dobrze by było żeby kopiowanie takich tagów było kontrolowane.

 

[Elvis]

Jak chodzi o kopiowanie znaczników RFID oraz kart to jest temat rzeka, ale żeby pokazać że to o wiele łatwiejsze niż się wydaje proponuję zobaczyć następującą stronę: https://lab401.com/products/lab401-pentester-pack - znajdziemy na niej gotowy zestaw, oczywiście przeznaczony tylko do testowania bezpieczeństwa 😉

Nieco bardziej zaawansowane karty wykorzystują szyfrowanie i proste "podsłuchanie" i ponowne odtworzenie sygnału nie wystarcza. Pracowałem np. przy kartach Mifare Ultralight C (już ponoć przestarzałych https://www.nxp.com/products/rfid-nfc/mifare-hf/mifare-ultralight/mifare-ultralight-c:MF0ICU2), w ich przypadku złamanie systemu nie jest już takie proste.

Same karty można kupić za kilka PLN, przykładowo tutaj: https://www.nfc24.pl/karta-ultralight-c-3des

Ale rozwiązań jest mnóstwo, np. na tej stronie jest dłuższa lista dostępnych rozwiązań: https://www.cartpoland.pl/karty/karty-zblizeniowe/mifare-ultralight-c/

[Polecacz 101]

Produkcja i montaż PCB - wybierz sprawdzone PCBWay!
   • Darmowe płytki dla studentów i projektów non-profit
   • Tylko 5$ za 10 prototypów PCB w 24 godziny
   • Usługa projektowania PCB na zlecenie
   • Montaż PCB od 30$ + bezpłatna dostawa i szablony
   • Darmowe narzędzie do podglądu plików Gerber
Zobacz również » Film z fabryki PCBWay

[matsobdev]

Telefon zamiast karty dałby szersze możliwości. Np. hash(wartość_stała + timestamp), gdzie wartość_stała jest identyfikatorem użytkownika w "skanerze" i telefonie. Zegar zsynchronizowany, plus minus 2 sekundy i po tym czasie podsłuchany przekaz jest bezużyteczny. Coś w ten desen testowałem, ale na BLE.

[ethanak]

A nie może być najprostszy czujnik biometryczny (palcoskaner albo kamerka i rozpoznawanie paszczy)? Jeśli nie chodzi o bezpieczeństwo powinno wystarczyć...

[matsobdev]

19 minut temu, ethanak napisał:

czujnik biometryczny

To już może być bardziej skomplikowane prawnie.

Edytowano Sierpień 1, 2023 przez matsobdev

[ethanak]

A to już zadanie dla kauzyperdów (przypominam, że to nie forum prawników). Poza tym jeśli przetwarzanie ogranicza się do odróżnienia pana A od pani B to nie jest konieczne przechowywanie wszystkich danych.

 

[Gieneq]

@Elvis @matsobdev Dziękuję za pomysły 🙂 W tym przypadku nie ma potrzeby dużych zabezpieczeń, ale zapoznam się z tematem, jak nie tu to przyda się gdzieś indziej.

Celem tego ma być wygoda śledzenia użytkowników, a sama procedura jest tylko formalną podkładką. Ma to być też stosunkowo tanie. Zarządzanie tokenami i użytkownikami ma odbywać się z poziomu urządzenia. Dane nie są potrzebne z poziomu serwera nadrzędnego. Wynikiem będzie że w raporcie pojawi się że "Adam odpalił urządzenie, a Piotr zakończył działanie".