Skip to content

Vorbereitete RFID-Karten

Geschrieben von Björn Harste am
Habe mal knapp dreißig RFID-Karten für das neue Zeiterfassungsterminal derart vorbereitet, dass ich mir die jeweiligen ID-Nummern rausgesucht habe, um sie anschließend den jeweiligen Mitarbeitern im System zuordnen zu können.

Ich habe schon die erste entsetzte Frage gehört: "RFID??? Oh, ah …". Ich habe mir vorsichtshalber den sarkastischen Kommentar verkniffen, dass ich damit dann Zugriff auf sein Handy, seinen E-Mail-Account und seine Bankdaten habe. ;-)

(Gab es in den Medien jemals eine positive Berichterstattung über RFID?)


Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Carom am :

Kann man da auch die NFC-Funktion des Smartphones nutzen? Hat der Hersteller zum Beispiel eine App, die die für diese Anwendung programmierte RFID-Karte und deren Inhalte reproduziert?

Ich frage, weil meine Taschen sowieso schon von drölfzig Karten ausgebeult werden.

Chris_aus_B am :

Bekommt das SPAR-Kind auch eine? :-)

(Und wie wird es genannt werden, wenn du ganz blau-gelb wirst, darf es selber entscheiden ob es das EDEKA-Kind wird oder das SPAR-Kind bleibt ??? :-) ;-) )

Peter am :

warum hast du dich für Karten entschieden ?
es gibt doch heute die viel Praktischeren Schlüsselanhänger.

Mastacheata am :

Das Problem kann man doch ganz einfach umgehen indem man RFID durch NFC ersetzt. NFC verbinden die weniger Technik-Interessierten mit Ihrer Bank-/Kreditkarte und den Bezahlfunktionen die Ausländer in Ihren Handys haben. (Zumindest bei Apple, auf Android gibt es zumindest schon Prepaid Zahldienste die auch in Deutschland mit NFC funktionieren)

RFID ist dagegen dieses böse Zeug im nPA und im Reisepass das man am besten direkt in der Mikrowelle grillt. ("Haben diese Hacker vom Computerclub gesagt" ;-))

SPages am :

Ach du meinst den CCC - dachte schon die zwei Wolfgangs vom Computer Club. Heute nur noch Online, da der Bildungsauftrag der öffentlich rechtlichen mit zwangsbeitrag ja oft nur noch Kochsendungen, Serien und anderen Mainstream Müll umfasst, weil Einschaltquoten für ein Volksfinanziertes ÖR Mediensystem das wichtigste sind ...

Mastacheata am :

Ja von dieser Sendung habe ich mal irgendwo gelesen, aber die Blütezeit davon hab ich definitiv nicht erlebt. (Ich bin jetzt 30 und würde mal sagen die erste Hälfte davon waren Computer für mich nur zum Spielen gut)

SPages am :

http://www.cczwei.de/ - gibt es einen Wolfgang immer noch mit verschiedenen Projekten als Podcast. Interessant ist vor allem das die beiden halt nicht nur vorhandenes Vorstellen, sondern auch mal den Lötkolben zur Hand genommen nehmen um neues zu schaffen.

Cliff am :

Hier sehen Sie Arbeiter beim RFID entwerten:

https://www.google.de/search?tbm=isch&source=hp&biw=1366&bih=622&ei=RTEGWtf2MsHewALl1a_gBQ&q=stechuhr&oq=stechuhr&gs_l=img.1.0.0j0i30k1l4j0i5i30k1j0i24k1.1769.6291.0.8725.9.9.0.0.0.0.600.1778.0j1j4j5-1.6.0....0...1.1.64.img..3.6.1775.0..0i10k1.0.UDdk2LIS9Fc&gws_rd=cr&dcr=0#gws_rd=cr&imgdii=zVnsAM03B93qsM:&imgrc=xkZqACtKovck-M:

muetze am :

also ich kenn inzwischen beides, die Karten und die "Badges" als Schlüsselanhänger. Die Badges sind weniger verlieranfällig weil man auf seinen Schlüssel ja meistens sehr gut aufpasst. Bei den Karten kann man gegen das knicken einfach so n durchsichtiges Kartenetui nehmen (wie es ab und zu bei den Banken gibt)

John Doe am :

Ich war auch mal auf einem Assessment Center bei einem regionalen ÖPNV-Anbieter. Da gab es dann im Laufe des Tages einen Abschnitt, in der die Unternehmensvertreter den Bewerbern einige weitere Informationen zum Unternehmen gaben.

Dabei erwähnten die Unternehmensvertreter, dass sie demnächst irgendetwas neues einführen möchten (oder zumindest darüber nachdachten) - und zwar mit Hilfe von RFID.

Das hat dann einen Mitbewerber getriggert. Der hatte zwar Hintergrundwissen über das Thema, war aber so gar nicht gut drauf zu sprechen. Und hat ensprechend losgepoltert. Wie (anscheinend pauschal) unsicher und schlecht RFID doch wäre. Als er mit seiner zweiminütigen Tirade fertig war, war es erst mal sehr still. Alle anderen haben wohl gemerkt, dass das vielleicht etwas arg voreilig und überheblich war. Und ich glaube, auch ihm wurde das in dem Moment schlagartig bewusst...

Letzten Endes hat er die Stelle auch nicht bekommen (wie allerdings 75% der anderen auch nicht).

Moritz am :

WIr haben in der Arbeit die Schlüsselbadges, allerdings nicht zum Stempeln (das geht über eine Intranetanwendung) sondern als Türöffner, Kopierkarte und Kantinenzahlmittel. Funktioniert einwandfrei.

Schwachstromblogger am :

Naja, wenn einer in einer Technologie etwas schlechtes finden will, wird er fündig.

Die meisten Transponder, so wie vermutlich auch die für die Zeiterfassung, beinhalten einzig und allein eine Seriennummer, den Unique Identifier, wobei der in etlichen Systemen schon nicht mehr unique ist. Es ist einfach nur eine Zahl zwischen 0 und sehr groß. Komplexere Systeme können mehr, wenn es genutzt wird. Ein Datenträger kann aber immer nur die Daten beinhalten, die auch darauf gespeichert werden. Daher ist es egal, ob es RFID-Karten, kontaktierte Chipkarten oder Lochkarten sind. Die meisten Vorurteile gegenüber RFID basieren eigentlich auf einer falschen Informationspolitik der Kartenausgeber und einem Fehlverhalten der Anwender.

Beim nPA ist es wieder eine andere Sache, hierbei handelt es sich um eine Signaturkarte mit "Eigenintelligenz" und einer Funkschnittstelle. Das bedeutet, dass ich mich über die Karte ausweisen kann, aber im Gegenzug muss sich die Gegenstelle aber auch korrekt ausweisen können, um die Informationen zu erhalten.

Bei Zahlungskarten kommt dann noch eine Sache hinzu: Die Systeme wie Paywave ermöglichen es, Daten auszulesen oder Geld abzuzweigen, ohne dass der Benutzer diesem zustimmt. Das ist aber der Tatsache geschuldet, dass der Mensch stinkefaul und höchst bequem ist. Bei einer MagStripe-Kreditkarte wurde einfach durchgezogen und bei einem Kleinstbetrag war alles gut. Genau dieses sollte noch vereinfacht werden. Also statt MagStripe eine Funkschnittstelle und schon gab es ein Problem.

Ich hab an meinem Schlüsselbund zig RFID-Transponder, ebenso im Geldbeutel und ich hab da kein Problem mit.

Wenn jemand mit RFID (oder irgendwas anderem) ein Problem hat, ok, stört mich nicht, solange dieser jemand nicht anfängt, mich bekehren zu wollen.

Ex-Bänkster am :

Schwachstromblogger, was Du übersiehst, ist, dass man mit geeigneter Antennentechnik RfID-Chips (egal ob Schlüsselanhänger, Karte oder Implantat) auf viel weitere Entfernung anpeilen und auslesen kann, als die paar cm, die die normgerechte Antenne im Lesegerät bietet.

Damit können böswillige Leute Bewegungsprofile von Dir erstellen und bekommen mit, wann Du in der Nähe bist, und zwar mit einem viel geringeren Risiko, erwischt zu werden, als wenn sie Dir persönlich nachstellen müssten.

Wenn Du z.B. beruflich Schlüsselträger für einen 24-Stunden-Zugang zu einem Gebäude bist, in dem wertvolle Dinge gelagert sind, hast Du normalerweise eine Dienstanweisung, auf unterschiedlichen Wegen und zu unterschiedlichen Zeiten zur Arbeit bzw. nach Hause zu gehen, damit es schwieriger ist, Dir aufzulauern und Dir den Schlüssel zu klauen.

Mit einem bekannten RfID-Token am Leib kann man Dich dagegen schon aus der Entfernung peilen, und abschätzen, welchen Weg Du wann nimmst, indem man einfach genug kleine mobile Sender geschickt positioniert. Handy, Akku, Antenne, irgendwo versteckt anbringen. Kommst Du in die Nähe, bekommt derjenige eine SMS, welchen Sender Du getriggert hast.
Entsprechend haben wir unsere Karten sinnvollerweise in RfID-Schutzhüllen aufbewahrt, und erst kurz vor dem Lesegerät gezückt.

Schwachstromblogger am :

Wenn einer Bewegungsprofile haben will, gibt es auch viel einfachere Wege, an diese heranzukommen, die auch noch viel genauer sind.

Wer für sicherheitsrelevante Aufgaben RFID ohne Challenge-Response-Verfahren einsetzt, handelt grob fahrlässig. Es gibt seit zig Jahren die verschiedensten Systeme wie das IK3-Wechselcodeverfahren, mifare Classic, mifare DESfire und LEGIC advant. Die UID ist zwar immer identisch, aber mit der UID alleine kann man nichts bewirken. Ab einer gewissen Gefährdungsstufe kommt noch ein zweiter Faktor hinzu, wie ein geistiger Verschluss, Biometrie oder Mehrpersonenverfahren.

Diese Dienstanweisung wird wohl in erster Linie dafür gedacht sein, um eventuelle Übergriffe auf die Person zu verhindern, um sich Zugang zu verschaffen.

Und wenn du mich mal durch einen RFID-Scanner ziehst, wirst du so gute 20 verschiedene UIDs bekommen, in drei verschiedenen Systemen. Bei jedem Scan-Vorgang bekommst du dann vier neue UIDs. Bei richtig konfigurierten ACS musst du schon Glück haben, um einen Treffer zu landen.

Ex-Bänkster am :

Richtig, es ging nicht darum, das Token zu stehlen, sondern darum, die Person abzupassen. Aber auch dazu ist das Token eben praktisch, wenn es nicht in einer Schutzhülle mitgeführt wird.
Mehrere Tokens gleichzeitig bei sich zu führen, vewirrt ein gut gemachtes System auch nicht. Es dauert dann halt ein bisschen länger, bis man sich sicher ist, welche Tokens alle Deine sind. Eines davon zu erkennen, reicht dann, um Deinen Standort preiszugeben.

Matthias Schulz am :

Björn, die weißen Karten sehen ja nicht sooo hübsch aus. Solltest dir vielleicht mal überlegen, ob du sie noch bedruckst oder gleich als Mitarbeiterausweis "missbrauchst" ;-)

Nur registrierte Benutzer dürfen Einträge kommentieren. Erstellen Sie sich einen eigenen Account hier und loggen Sie sich danach ein. Ihr Browser muss Cookies unterstützen.

Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.

Kommentar schreiben

Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
:'(  :-)  :-|  :-O  :-(  8-)  :-D  :-P  ;-) 
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Formular-Optionen