Oteller için Anahtar Kartlar Nasıl Çalışır? RFID, Magstripe ve Musluğun Arkasındaki Teknoloji

 

Üç teknoloji, üç farklı güvenlik hikayesi

 

Markanın altında, her otel odası kimlik bilgisi üç teknolojiden biriyle çalışır ve bir şeyler ters gittiğinde her biri farklı davranır.

 

Manyetik şerit, halen günlük hizmette olan en eski formattır. Konuk verileri arka taraftaki karanlık bantta mıknatıslanmış parçacıklar olarak yaşar ve kart bir yuvadan geçerken kilit onu okur. RFID ve manyetik şeritli otel anahtar kartı sorusu genellikle burada başlıyor, çünkü şerit, daha sonra maliyeti daha yüksek olan ucuz bir seçenektir: hiçbir şeyi güvenli bir şekilde saklamaz, işlem sırasında bozulur ve çoğu mülkte, kodlamasını başıboş bir mıknatısa veya yoğun bir yeniden-kodlama döngüsüne insanların beklediğinden çok daha kısa sürede bırakan düşük-zorlayıcı stok kullanır.

 

RFID kartları bir dokunuş karşılığında kaydırma işlemini gerçekleştirdi ve burası, oteller için RFID anahtar kartlarının nasıl çalıştığını anlamak ilginç hale geliyor. Küçük bir çip ve bir bakır anten bobini plastiğin içinde mühürlenmiş halde duruyor. Kilitteki okuyucu bir radyo alanı gönderir, bu alan çipe pil ve temas olmadan güç sağlar ve çip, depolanan kimlik bilgileriyle yanıt verir. Sıklık, çoğu açıklayıcının atladığı ayrıntıdır.Eski erişim kartları, neredeyse hiç güvenliği olmayan düşük-frekans bandı olan 125 kHz'de çalışır; modern standart, MIFARE çip ailesi ve NFC tarafından paylaşılan yüksek-frekans bandı olan 13,56 MHz'dir. Aynı fizik, hangi çipin üstte olduğuna bağlı olarak son derece farklı koruma.

 

 

NFC mobil anahtarları en yeni katmandır; telefona taşınan aynı 13,56 MHz değişimden daha az yeni bir fikirdir; bu değişim, bir kartı taklit eder ve mobil check-in sırasında verilen kimlik bilgilerini kullanarak Bluetooth-özellikli bir kilitle konuşur-. Bu çekim sadece modaya uygun değil aynı zamanda işlevseldir: Cornell araştırması, check-in sırasında beş- dakikalık beklemenin-misafir memnuniyetini yarıya kadar azaltabileceğini buldu (BDC Ağı) ve masayı atlamak otellerin kazanç peşinde koşmasıdır. Para da trendi takip ediyor; temassız otel teknolojisinin değeri 2025'te yaklaşık 4,8 milyar ABD Doları'na ulaştı ve 2034'te yaklaşık 14,6 milyar ABD Dolarına ulaşması bekleniyor (Dataintelo) ve büyük bir zincirin 2019 sonu itibarıyla 1.800'den fazla otelde mobil anahtarları vardı (Konaklama Teknolojisi). Kilit donanımını belirlerken frekans seçimi en önemli husustur. BizimRFID ve NFC'nin dökümü ve her birinin ne zaman dağıtılacağıbu kararı kapsıyor, ancak yeni bir otel inşaatı için artık 13,56 MHz pratik zemindir.

 

Bir kapının açıldığı yarım-saniye içinde

 

Bir otel kapısı kartınızı okur ve saniyeden çok daha kısa bir sürede karar verir ve adımlar hızın önerdiğinden daha basittir.Okuyucu bir radyo alanı yayarpasif çip kendisine yazılan kimlik bilgisini uyandırır ve geri gönderir, kilidin denetleyicisi bunu sahip olduğu erişim kuralıyla karşılaştırır ve oda ve tarihler aynı hizadaysa sürgüyü çalıştırır. Bir otel anahtar kartı, bir misafirin görebileceği düzeyde bu şekilde çalışır.

 

Altında yatan şey bilmeye değer kısımdır: çoğu otel kapı kilidi çevrimdışıdır. Canlı sunucu kontrolü yok, ağ kablosu yok. Bu kasıtlıdır, çünkü bir mülkün her çerçeveye BT kablolama yapmadan binlerce kapıyı pil gücüyle çalıştırmasına olanak tanır. Buradaki ödünleşim, izin mantığının kartın kendisinde geçerli olması gerektiğidir; bu da tam olarak kimlik bilgilerinizin uzaktan kapatılmak yerine kendi son kullanma tarihini taşıdığını ve ödeme sırasında çalışmayı durdurduğunu ve güvenlik kaydının gösterdiği gibi, neden doğru verileri taşıyan sahte bir kartın ön büronun asla izin vermediği bir kapıyı açabileceğini gösterir. Bir seviye aşağıdaki kart-yan mekaniği için açıklayıcımızRFID akıllı kartının neyi sakladığı ve nasıl yanıt verdiğidaha derine gider.

 

Kartınızın sizin hakkınızda bildikleri ve bilmedikleri

 

Tekrarlanan bir gizlilik endişesi açıkça çözümlenmeye değer. Bir otel odası kartında genellikle bir oda numarası, giriş-giriş ve çıkış-tarihleriniz ve yalnızca tesisin sisteminin anlayabileceği bir koda bağlı erişim izinleri bulunur. Düzgün kodlanmış bir otel anahtar kartında adınız, ev adresiniz veya ödeme bilgileriniz yer almaz. Kart, otelin sistemindeki bir kaydı işaret eden bir simgedir, o kaydın bir kopyası değil. Onu sokağa bırakırsanız bulan kişi sizin hakkınızda hiçbir şey öğrenmez; modern, şifrelenmiş bir kimlik bilgisini, meraklı bir öğleden sonradan çok daha fazlası olmadan çalışan bir anahtara bile dönüştüremezler.

 

 

Broşürlerin dışarıda bıraktığı güvenlik geçmişi

 

Oteller için anahtar kartların nasıl çalıştığı kolaylıktan daha fazlasını belirler:İçerideki çip teknolojisi, kapının ne kadar güvenli olabileceğine dair bir tavan belirliyorve sektör bunu kanıtlamak için on yıldan fazla zaman harcadı.

 

2012 yılında, Cody Brocious adında bir Mozilla geliştiricisi ve araştırmacı, Las Vegas'ta Black Hat USA sahnesine yaklaşık elli-dolarlık Arduino kartından yapılmış bir aletle çıktı. Onu, yaygın olarak kullanılan bir Onity elektronik kilidinin alt tarafındaki güç-ve-programlama bağlantı noktasına taktı, kilidin hafızasını okudu ve kapıyı açtı. Bu kilitler dünya çapında tahminen dört ila beş milyon odaya yerleştirildi. Birkaç ay içinde aynı teknik, Houston Galleria'daki bir Hyatt'tan çalınan bir dizüstü bilgisayar da dahil olmak üzere gerçek hırsızlık olaylarında da ortaya çıktı; polis daha sonra bir şüpheliyi tutukladı; Onity'nin çözümü, otellerin ödemesini beklediği ücretsiz bir bağlantı noktası fişinin yanı sıra bir donanım yazılımı-ve{8}}devre-kartı yükseltmesiydi ve benimseme süreci gecikti (Kayıt).

 

2024 vakasını atlatmak daha zor. Bir araştırma ekibi, 131 ülkede yaklaşık 13.000 mülkte yaklaşık üç milyon kapıya ulaşan Unsaflok takma adı verilen bir kusur zincirini ortaya çıkardı (BleepingBilgisayar). Saldırı, mülkten okunan bir anahtar kartına ve iki sahte kart yapmak için ucuz bir yazıcıya ihtiyaç duyuyordu ve iki tane gerektirmesinin nedeni de anlaşılmaya değer: ilk kart, kilidin iç durumunu yeniden yazıyor ve ancak o zaman ikinci kart onu açıyor (Unsaflok). İşe yaradı çünkü bu kilitler, tersine mühendislikle düzenlenebilecek özel bir anahtar şemasına sahip, eskimiş MIFARE Classic kartına dayanıyordu-ve sürgü yazılımla çekilebildiğinden, sürgü gerçek bir geri döndürmez güç vermiyordu. Bu erişim-kontrol çipi zayıflıkları tek bir kilit markasının çok ötesine uzanıyor; bu nedenle, kilit markalaması yerine kimlik bilgisi seçimi gerçek kontroldür ve bu konudaki notumuzda ortaya koyduğumuz bir ödünleşimdir.erişim-kontrol kartı güvenliği ve nasıl seçileceği.

 

 

Ayrı bir şekilde, araştırmacılar daha sonra Çin'de üretilen, halihazırda ABD, Avrupa ve Hindistan'daki otellerde bulunan türden MIFARE-uyumlu bazı çiplerde bir donanım arka kapısı buldular (TechRadar). Her üç hikaye de bir ders taşıyor: "RFID ile çalışıyor, dolayısıyla güvenli" artık çok eskimiş bir cümle.

 

Bu kartları satın alırsanız veya belirtirseniz arızaları tersten okuyun

 

Şifrelenmiş bir RFID kartının klonlanması, manyetik bir şeridin klonlanmasından daha zordur. Bu başlık doğrudur ve bir yapay zeka özeti bunu size memnuniyetle tekrarlayacaktır. Cümlede sessizce atlanan şey, mülkünüzün güvenli olup olmadığına karar veren değişkendir:İçinde hangi çip ailesi yer alıyor ve kimin silikonu?. Bu, çoğu tedarikçinin kendi başına yetiştirmeyeceği kısımdır ve fabrikanın görüşünün bayininkinden ayrıldığı yerdir.

 

Mülkiyet seviyesi ne olursa olsun, Bare MIFARE Classic artık masadan kalktı çünkü Unsaflok'un açıklaması bu çağrıyı kalıcı hale getirdi ve 2008'den bu yana kriptografik olarak kırılan bir çipin misafir odasını korumakla hiçbir işi yok. Geriye hangi şifreleme-seviyesindeki çipin kilitlerinize, bütçenize ve kullanıma uygun olduğuna karar vermek kalıyor ve bir otel için anahtar kartlarının seçimi net bir şekilde üç duruma ayrılıyor. Halihazırda magstripe çalıştıran ekonomik veya eski bir otel, bunu şimdilik makul düzeyde tutabilir ve masa prosedürlerini sıkılaştırıp hijyeni yeniden-şifreleyebilir, çünkü konuklarının hiçbir zaman karşılaşmayacağı bir tehdidi kovalamak için çalışan donanımı sökmek başlı başına bir israftır. Orta-sınıftaki yeni bir yapının aşağıda belirtilecek bir mazereti yoktur:13,56 MHz şifrelenmiş kimlik bilgisi. NFC mobil anahtarlarını katmanlayan bir amiral gemisi, hala fiziksel geri dönüş kartının şifrelenmesine ihtiyaç duyuyor çünkü bu geri dönüş tam olarak bir saldırganın peşinde olduğu şey.

 

Bu eşleştirme işi konaklama müşterileri için yaptığımız şeydir: Kimlik bilgilerini tehdit modeline uydurmak, tedariki bozuk çip ailelerinden uzak tutmak ve arka kapının küçültülmüş-sarılmış olarak gelmemesi için silikon menşeini doğrulamak. Kapılarınızın güvenli olup olmadığına karar veren adım burada yazılmayan adımdır: bir çip tedarikçisinden hangi yetki belgelerinin talep edileceği, lisanssız bir klon yerine orijinal bir NXP veya Infineon parçasının nasıl onaylanacağı ve yeniden sipariş vermeden önce bir mülkün mevcut kartlarını nasıl okuyacağınız. Bu kontrol listesi, tedarikçilerin sessiz kaldığı değişkenlerdir ve biz de talep üzerine kendi listemizi paylaşacağız. Eğer kaynak yapıyorsanızdoğrulanmış, şifreleme- dereceli çip üzerine oluşturulmuş özel-şifreli otel anahtar kartları, konuşmayı sanat eseriyle değil çiple açın; Girişi havuzlara, spa'lara ve etkinlik bölgelerine genişleten tatil köyleri için de aynı mantık geçerlidir.Otel ve resort erişimi için RFID bilekliklerve içineRFID çamaşır etiketleriçamaşırları aynı-arka-sistemlerden geçiriyor.

 

Sonuç olarak

 

Oteller için anahtar kart sistemlerinin nasıl çalıştığı tek bir bileşene, çipe bağlı ve endüstri, üç milyon kapıda bunu görmezden gelmenin bedelini ödedi. Bir sonraki kart siparişiniz gönderilmeden önce çip üretimini ve kaynağını doğrulayın, çıplak MIFARE Classic üzerine inşa edilen her şeyi başlangıç ​​dışı-olmayan bir ürün olarak değerlendirin ve tedarikçinizden menşeini kanıtlamasını isteyin. Eğer yapamıyorlarsa, cevabınız budur ve bunu yapabilecek bir fabrika kurmanın doğru zamanıdır.