Краткая история средств контроля доступа:
КАК МЕНЯЛИСЬ ТЕХНОЛОГИИ ДЛЯ УСТРАНЕНИЯ УЯЗВИМОСТЕЙ
КАК МЕНЯЛИСЬ ТЕХНОЛОГИИ ДЛЯ УСТРАНЕНИЯ УЯЗВИМОСТЕЙ
Введение
Физический контроль доступа является ключевым компонентом систем безопасности для многих организаций вот уже несколько десятилетий. Наряду с прочими технологиями, контроль доступа развивался, и сегодня обеспечивает невиданный ранее уровень безопасности и удобства в использовании.
Сегодня у компаний есть широкий выбор систем контроля доступа: от устаревших контактных технологий, например карт с магнитной полосой, до бесконтактных и мобильных средств идентификации. Несмотря на появление новых более безопасных и удобных вариантов, многие организации продолжают использовать устаревшие уязвимые технологии контроля доступа. Таким организациям следует принять меры и запланировать давно назревшее обновление систем.
Чтобы убедиться в важности перехода на более современные системы контроля доступа, оглянемся назад и рассмотрим историю развития технологий идентификации с 1980-х до настоящего времени. Затем изучим существующие технологии и перспективы их развития в будущем, а также выясним, почему использование устаревших технологий ставит вашу организацию под угрозу.
Сегодня у компаний есть широкий выбор систем контроля доступа: от устаревших контактных технологий, например карт с магнитной полосой, до бесконтактных и мобильных средств идентификации. Несмотря на появление новых более безопасных и удобных вариантов, многие организации продолжают использовать устаревшие уязвимые технологии контроля доступа. Таким организациям следует принять меры и запланировать давно назревшее обновление систем.
Чтобы убедиться в важности перехода на более современные системы контроля доступа, оглянемся назад и рассмотрим историю развития технологий идентификации с 1980-х до настоящего времени. Затем изучим существующие технологии и перспективы их развития в будущем, а также выясним, почему использование устаревших технологий ставит вашу организацию под угрозу.
Современные технологии
Развитие бесконтактных смарт-карт в последнее время отражает изменяющиеся потребности бизнеса.
Бесконтактные карты второго поколения отличаются от предшественников по двум ключевым показателям: уровню безопасности и сфере применения.
Безопасность
Уязвимые фирменные протоколы смарт-карт первого поколения уходят в прошлое. Один из основных недостатков
таких протоколов — их привязка к конкретным компаниям и связанные с этим «слепые пятна», присущие одностороннему взгляду на безопасность. Это неизбежно приводит к возникновению существенных уязвимостей, так как такие проблемы возможно устранить только после того, как поставщик будет извещен о данной проблеме, а соответствующие специалисты выпустят обновление или исправление и включат его в программный пакет.
Современные средства идентификации используют открытые, широко используемые стандарты, разработанные и одобренные в ходе практических и академических исследований (например экспертами ISO и NIST). Такие стандарты постоянно обновляют и корректируют, что позволяет использовать их в различных системах.
Бесконтактные карты второго поколения отличаются от предшественников по двум ключевым показателям: уровню безопасности и сфере применения.
Безопасность
Уязвимые фирменные протоколы смарт-карт первого поколения уходят в прошлое. Один из основных недостатков
таких протоколов — их привязка к конкретным компаниям и связанные с этим «слепые пятна», присущие одностороннему взгляду на безопасность. Это неизбежно приводит к возникновению существенных уязвимостей, так как такие проблемы возможно устранить только после того, как поставщик будет извещен о данной проблеме, а соответствующие специалисты выпустят обновление или исправление и включат его в программный пакет.
Современные средства идентификации используют открытые, широко используемые стандарты, разработанные и одобренные в ходе практических и академических исследований (например экспертами ISO и NIST). Такие стандарты постоянно обновляют и корректируют, что позволяет использовать их в различных системах.
Широкий диапазон применения
Смарт-карты второго поколения (например карты Seos®) созданы с учетом возможности использования в различных сферах, они обеспечивают надежную защиту конфиденциальных данных. Сегодня организациям необходима возможность управлять идентификаторами независимо от используемого форм-фактора (и микропроцессорного чипа). Такие организации могут создавать средства идентификации не только в виде карт, но и в виде программ для мобильных телефонов, планшетов, носимой электроники и в других форм-факторах.
Кроме того, они могут передавать данные через NFC, Bluetooth и другие протоколы.
Благодаря этому стало возможно использовать смарт-карты и логические средства идентификации в новых сферах — для аутентификации и авторизации во время получения доступа к сетям и информации — и они стали связующим звеном между системами физического и логического доступа.
Безопасная печать и безналичная оплата покупок — примеры простого и удобного использования смарт-карт второго поколения.
Однако со временем все меняется. Объемы пользования Интернетом постоянно растут, и роль мобильных устройств, в том числе в отношении контроля доступа, может в ближайшем будущем существенно измениться.
Эти тенденции влияют на надежность систем контроля доступа и повышение удобства для
пользователей в компаниях, в том числе на принципы хранения идентификационной информации на картах и мобильных устройствах.
Кроме того, они могут передавать данные через NFC, Bluetooth и другие протоколы.
Благодаря этому стало возможно использовать смарт-карты и логические средства идентификации в новых сферах — для аутентификации и авторизации во время получения доступа к сетям и информации — и они стали связующим звеном между системами физического и логического доступа.
Безопасная печать и безналичная оплата покупок — примеры простого и удобного использования смарт-карт второго поколения.
Однако со временем все меняется. Объемы пользования Интернетом постоянно растут, и роль мобильных устройств, в том числе в отношении контроля доступа, может в ближайшем будущем существенно измениться.
Эти тенденции влияют на надежность систем контроля доступа и повышение удобства для
пользователей в компаниях, в том числе на принципы хранения идентификационной информации на картах и мобильных устройствах.
Использование карт-аналогов с современными считывателями систем
контроля физического доступа
контроля физического доступа
Самое слабое звено
После приобретения современных считывателей некоторые организации ищут способы сэкономить, в том числе за счет покупки более дешевых карт и средств идентификации. Это большая ошибка. Считыватель ненадежен настолько, насколько ненадежна самая уязвимая технология идентификации, которую он поддерживает.
Безопасность всей экосистемы, в том числе карт, — это не то, на чем стоит экономить.
Часто компания приобретает дешевые карты у стороннего поставщика. При продаже таких карт, которые называют аналогами, заявляется об их совместимости с современными считывателями. Однако, такие дешевые карты могут использовать более уязвимые технологии, которые легче взломать или обойти.
Стремление сэкономить средства актуально для многих компаний, но экономия на безопасности в долгосрочной перспективе может привести к большим затратам. Цена взлома системы безопасности, вероятность которого повышается при использовании менее защищенных карт, может быть значительно выше стоимости более надежных карт и средств идентификации.
Чтобы убедиться в важности перехода на более современные системы контроля доступа, рассмотрим историю развития технологий идентификации.
Безопасность всей экосистемы, в том числе карт, — это не то, на чем стоит экономить.
Часто компания приобретает дешевые карты у стороннего поставщика. При продаже таких карт, которые называют аналогами, заявляется об их совместимости с современными считывателями. Однако, такие дешевые карты могут использовать более уязвимые технологии, которые легче взломать или обойти.
Стремление сэкономить средства актуально для многих компаний, но экономия на безопасности в долгосрочной перспективе может привести к большим затратам. Цена взлома системы безопасности, вероятность которого повышается при использовании менее защищенных карт, может быть значительно выше стоимости более надежных карт и средств идентификации.
Чтобы убедиться в важности перехода на более современные системы контроля доступа, рассмотрим историю развития технологий идентификации.
1980-е годы
История развития технологий идентификации
Основным улучшением в управлении доступом по сравнению с механическими замками с ключами стало использование карт с магнитной полосой. Они позволили лучше контролировать средства доступа. Контроль прав доступа к определенным зонам и возможность управлять такими правами позволили уйти от проблемы возврата и
выдачи ключей по мере кадровых перемещений персонала.
Контактная технология требовала проведения карты по специальному пазу для передачи незашифрованных идентификационных данных на считыватель. Если пользователю был необходим доступ к определенной зоне, ему следовало провести картой через щель считывателя, как на кассе в магазине или на заправочной станции.
Опасности
Отсутствие шифрования данных делает контактную технологию менее защищенной, чем современные
варианты, однако на то время она обеспечивала достаточно высокий уровень защиты, в частности из-за
того, что для клонирования или считывания данных взломщикам пришлось бы физически заполучить карту.
выдачи ключей по мере кадровых перемещений персонала.
Контактная технология требовала проведения карты по специальному пазу для передачи незашифрованных идентификационных данных на считыватель. Если пользователю был необходим доступ к определенной зоне, ему следовало провести картой через щель считывателя, как на кассе в магазине или на заправочной станции.
Опасности
Отсутствие шифрования данных делает контактную технологию менее защищенной, чем современные
варианты, однако на то время она обеспечивала достаточно высокий уровень защиты, в частности из-за
того, что для клонирования или считывания данных взломщикам пришлось бы физически заполучить карту.
1990-е годы
Спустя некоторое время начали проявляться недостатки контактной технологии. Необходимость физического контакта может доставлять определенные неудобства для пользователей, а физическое повреждение и износ карт повышает расходы и добавляет работы администраторам.
Таким образом, развитие бесконтактных технологий стало поворотным моментом в истории систем контроля доступа. Самая распространенная технология называлась «Prox» или «низкочастотная бесконтактная технология». Низкочастотная (125 кГц) технология позволяла считывать карты с расстояния в несколько дюймов.
Технология Prox позволяла использовать в качестве форм-фактора брелоки и метки, то есть пользователю не нужно было использовать карту.
Опасности
Несмотря на то, что технология Prox открыла новый этап развития электронных систем контроля физического доступа — экономичных, удобных с разнообразными форм-факторами — она имела и ряд ограничений. Отсутствие шифрования данных, статический характер данных и возможность считывать данные с расстояния делает средство идентификации уязвимым для клонирования или подделки. Карты Prox нельзя было запрограммировать на несколько идентификаторов и наборов параметров.
Таким образом, развитие бесконтактных технологий стало поворотным моментом в истории систем контроля доступа. Самая распространенная технология называлась «Prox» или «низкочастотная бесконтактная технология». Низкочастотная (125 кГц) технология позволяла считывать карты с расстояния в несколько дюймов.
Технология Prox позволяла использовать в качестве форм-фактора брелоки и метки, то есть пользователю не нужно было использовать карту.
Опасности
Несмотря на то, что технология Prox открыла новый этап развития электронных систем контроля физического доступа — экономичных, удобных с разнообразными форм-факторами — она имела и ряд ограничений. Отсутствие шифрования данных, статический характер данных и возможность считывать данные с расстояния делает средство идентификации уязвимым для клонирования или подделки. Карты Prox нельзя было запрограммировать на несколько идентификаторов и наборов параметров.
Конец 1990-х—2010-е
Приблизительно в 2000 году бесконтактные карты развились до более совершенного по сравнению с Prox уровня.
Эти смарт-карты, среди которых были MIFARE® и iCLASS®, использовали высокочастотную технологию (13,56 МГц) и представляли собой идентификаторы совершенно нового уровня. Кроме того, они были избавлены от двух основных недостатков, присущих картам Prox.
Во-первых, была реализована взаимная аутентификация, то есть и карта, и считыватель содержали набор криптографических ключей (своего рода паролей). Когда идентификатор впервые подносят к считывателю, происходит обмен ключами и их математическое сравнение. Если ключи совпадают, идентификатор передает набор бинарных данных, а считыватель считает их подлинными. Однако если ключи не совпадают, идентификатор
не передает бинарные данные на считыватель, при этом транзакция прерывается.
Во-вторых, данные карты позволяют хранить намного больше информации, чем просто идентификационный номер, в том числе остаток на дебетовом счету и биометрические данные. Это повышает уровень безопасности и расширяет сферу применения таких карт.
Опасности
Несмотря на перечисленные преимущества, многие смарт-карты первого поколения имели ряд уязвимостей,
связанных с алгоритмами взаимной аутентификации. Существует ряд статей, посвященных исследованию
таких уязвимостей. Уязвимости позволяют взломщикам подделывать, клонировать и считывать
идентификационные данные, обходя процедуру взаимной аутентификации.
Эти смарт-карты, среди которых были MIFARE® и iCLASS®, использовали высокочастотную технологию (13,56 МГц) и представляли собой идентификаторы совершенно нового уровня. Кроме того, они были избавлены от двух основных недостатков, присущих картам Prox.
Во-первых, была реализована взаимная аутентификация, то есть и карта, и считыватель содержали набор криптографических ключей (своего рода паролей). Когда идентификатор впервые подносят к считывателю, происходит обмен ключами и их математическое сравнение. Если ключи совпадают, идентификатор передает набор бинарных данных, а считыватель считает их подлинными. Однако если ключи не совпадают, идентификатор
не передает бинарные данные на считыватель, при этом транзакция прерывается.
Во-вторых, данные карты позволяют хранить намного больше информации, чем просто идентификационный номер, в том числе остаток на дебетовом счету и биометрические данные. Это повышает уровень безопасности и расширяет сферу применения таких карт.
Опасности
Несмотря на перечисленные преимущества, многие смарт-карты первого поколения имели ряд уязвимостей,
связанных с алгоритмами взаимной аутентификации. Существует ряд статей, посвященных исследованию
таких уязвимостей. Уязвимости позволяют взломщикам подделывать, клонировать и считывать
идентификационные данные, обходя процедуру взаимной аутентификации.
Следующее поколение средств доступа
Преимущества для компании и для конечного пользователя очевидны. Во-первых, фактор удобства для сотрудников, которым больше не придется носить дополнительные пропуска. Кроме того, мало кто сейчас обходится без телефона или другого мобильного устройства, поэтому риск забыть карту практически сводится на
нет. Мобильные идентификаторы также позволяют пользователям проходить аутентификацию с определенного расстояния, то есть им не обязательно, например, опускать стекло автомобиля в холодную погоду для того, чтобы открыть ворота на стоянке.
Во-вторых, мобильные идентификаторы позволяют сделать процесс администрирования прав доступа намного проще. Цифровые процедуры дают возможность легко интегрировать рабочие системы с системами контроля доступа и учета посетителей. Организации могут выдавать сотрудникам и посетителям новые удостоверения по беспроводной связи и отказаться от физических средств идентификации в пользу цифровых. Кроме экономии времени и ресурсов, среди преимуществ такого подхода — сокращение количества отходов и выбросов
углекислого газа в атмосферу.
Решение HID Mobile Access®
Создание HID Mobile Access® знаменует новую эру удобства и функциональности систем контроля доступа.
Революционные технологии соответствуют растущим требованиям современного динамичного мира и устанавливают новые стандарты безопасности и защиты конфиденциальных данных.
Революционные технологии соответствуют растущим требованиям современного динамичного мира и устанавливают новые стандарты безопасности и защиты конфиденциальных данных.
Широкий выбор
Мобильные технологии быстро захватывают новые рынки. Пользователи могут использовать для доступа к различным объектам и ресурсам телефоны, планшеты, фитнес-браслеты, смарт-часы и прочие электронные
устройства на свой выбор. HID Mobile Access® в настоящий момент поддерживает наиболее широкий диапазон мобильных устройств и может использоваться в традиционных системах контроля доступа на основе карт независимо от платформы.
устройства на свой выбор. HID Mobile Access® в настоящий момент поддерживает наиболее широкий диапазон мобильных устройств и может использоваться в традиционных системах контроля доступа на основе карт независимо от платформы.
Широкий диапазон применения
Принципы управления идентификационными данными в условиях предприятия меняются. ИТ-отделы, службы безопасности и руководители объектов работают над созданием комплексных программ контроля доступа. HID
Mobile Access® позволяет не просто хранить защищенный идентификатор в памяти мобильного устройства — оно представляет собой единое решение для контроля физического и логического доступа.
Mobile Access® позволяет не просто хранить защищенный идентификатор в памяти мобильного устройства — оно представляет собой единое решение для контроля физического и логического доступа.
Больше уверенности
HID Mobile Access®, созданное на основе инновационной технологии, соответствует стандартам ISO и применяется правительством США, а также различными организациями во всех странах мира для шифрования секретных или
конфиденциальных данных, обеспечивая невиданный ранее уровень безопасности.
конфиденциальных данных, обеспечивая невиданный ранее уровень безопасности.
ЗАКЛЮЧЕНИЕ
Технологии создания карт и средств идентификации прошли длинный путь с момента своего появления 40 лет назад.
Современные бесконтактные смарт-карты используют отраслевые протоколы, что делает их более защищенными,
чем карты предыдущего поколения. По мере расширения сферы применения технологий контроля доступа, мобильные устройства обеспечивают синергический эффект, так как они не просто представляют собой безопасное и удобное средство идентификации в экономичном форм-факторе, но и имеют повышенную функциональность за
счет использования приложений.
Только современная система поможет пройти трансформацию в соответствии с новыми требованиями.
К счастью, усовершенствование вашей системы контроля физического доступа не так сложно, как может показаться на первый взгляд, так как для этого в большинстве случаев нужно лишь установить новые считыватели и выпустить современные идентификаторы.
Технологии создания карт и средств идентификации прошли длинный путь с момента своего появления 40 лет назад.
Современные бесконтактные смарт-карты используют отраслевые протоколы, что делает их более защищенными,
чем карты предыдущего поколения. По мере расширения сферы применения технологий контроля доступа, мобильные устройства обеспечивают синергический эффект, так как они не просто представляют собой безопасное и удобное средство идентификации в экономичном форм-факторе, но и имеют повышенную функциональность за
счет использования приложений.
Только современная система поможет пройти трансформацию в соответствии с новыми требованиями.
К счастью, усовершенствование вашей системы контроля физического доступа не так сложно, как может показаться на первый взгляд, так как для этого в большинстве случаев нужно лишь установить новые считыватели и выпустить современные идентификаторы.
Материал предоставлен компанией HID GLOBAL