本文目录导读:
防止RFID卡被克隆攻击的关键在于增强卡片的安全性和改变用户的使用习惯,以下是具体的防御措施,按效果从高到低排列:
使用高安全等级的芯片(最根本的方法)
普通的低频(125kHz)或高频(13.56MHz)IC卡(如MIFARE Classic)极易被克隆,解决方案是更换为具有更强加密和认证机制的芯片:
- 国密算法卡(SM系列):使用国家密码管理局批准的SM1/SM4/SM7算法的CPU卡,这些算法具有自主知识产权,破解难度极高。
- DESFire EV1/EV2/EV3:NXP公司的高安全级芯片,采用3DES或AES加密,并且支持双向认证(卡片和读卡器互相验证身份)。
- 非标准协议卡:一些特殊用途卡会采用非公开的私有协议,普通克隆设备无法读取。
启用双向身份认证
很多门禁或支付系统只验证了卡片本身,而忽略了读卡器的合法性,攻击者可以冒充合法读卡器来读取卡数据。
- 要求:确保读卡器也向卡片证明自己的身份,只有通过认证的读卡器才被允许读取卡内数据,现代CPU卡和DESFire卡均支持此功能。
使用屏蔽保护(物理防护,适合个人用户)
这是最简单、成本最低的预防手段,用于阻断攻击者在远距离(如NFC感应区外)无接触式扫描。
- RFID屏蔽钱包/卡套:内置金属网或导电纤维,形成一个法拉第笼,阻挡电磁波,购买时注意选择全频段屏蔽(涵盖125kHz和13.56MHz)的产品。
- 铝箔纸:紧急情况下,用普通铝箔纸包裹卡片也可以达到类似效果,但耐久性差。
- 金属卡槽:将卡片放在有金属衬层的手机壳或卡夹中。
禁用不必要的功能
- 关闭NFC支付“免密”功能:对于银行卡(如闪付卡),在ATM或银行App中降低“小额免密免签”的限额,或直接关闭该功能。
- 关闭“卡片模拟”功能:不要将敏感卡片(如门禁卡)长期存储在手机钱包里,仅在需要时才手动启用。
定期更换密钥与审计
- 系统管理员:定期更换门禁系统或支付系统的加密密钥,如果怀疑某张卡被克隆,应立即从系统中注销该卡并补发新卡。
- 多因子认证:不要仅依赖RFID卡,重要门禁或支付场景应结合密码、指纹、动态验证码或人脸识别,即使克隆了卡,没有PIN码或生物特征也无法通过。
警惕异常读取行为
- 物理隔离:如果将卡片放在口袋或包里,确保不靠近陌生人的手机、POS机或疑似“读卡器”的设备。
- 留意异常扣费:定期检查银行卡交易记录,若发现不明的小额扣款(可能是被NFC读卡器近距离窃取),立即挂失换卡。
你该怎么做?
-
如果你是个人用户:
- 物理防御:买一个正规品牌的RFID屏蔽卡套/钱包(成本约20-100元)。
- 关闭非必要功能:关闭银行卡的小额免密功能,或使用App锁。
- 绝不共享UID:不要向任何人透露你的卡片UID(唯一标识符)或磁条信息。
-
如果你是系统管理员/物业公司:
- 升级硬件:立即淘汰MIFARE Classic等老旧、易破解芯片。
- 实施双向认证:确认读卡器与卡片之间进行加密握手。
- 启用日志审计:监控异常刷卡记录(如同一张卡在同一秒内出现在不同地点)。
核心原则:不要假设RFID卡的前端数据是安全的,保护卡片安全的真正防线在于后端加密算法和物理/逻辑隔离。
