IC-kaart vs ID-kaart: kuidas valida oma süsteemile õige pääsukaart
Apr 23, 2026
Jäta sõnum
Kui teie hoones kasutatakse juurdepääsu kontrollimiseks endiselt 125 kHz ID-kaarte, tasub teada järgmist: alla 15 dollari suurune pihuseade suudab teie kaardi kloonida vähem kui 60 sekundiga. See kloonitud kaart avab kõik uksed, mida originaal teeb. Rajatiste haldajatele, kes just kiitsid heaks ID-kaartide hulgitellimuse, et säästa ühikukulu, ilmub tegelik hinnasilt hiljem, kui kogu süsteem tuleb välja kiskuda ja välja vahetada.
Selles artiklis käsitletakse tegelikke erinevusi IC-kaartide ja ID-kaartide vahel, mitte ainult spetsifikatsioonilehe versiooni, vaid ka erinevusi, mis tegelikult mõjutavad teie hankeotsust, süsteemi turvalisust ja kogu omamiskulusid.
IC-kaart ja ID-kaart: peamine erinevus 30 sekundiga
ID-kaart
(125 kHz, nt EM4100/TK4100): salvestab ainult fikseeritud seerianumbri. Kaart edastab selle numbri igale levialas olevale lugejale. Ei mingit krüptimist, kirjutamisvõimalust ega autentimise käepigistust. Lugeja lihtsalt kontrollib, kas number vastab andmebaasi kirjele.
IC-kaart
(13,56 MHz, nt MIFARE Classic/DESFire): sisaldab iseseisvateks sektoriteks jagatud loetava ja kirjutatava mäluga mikroprotsessorikiipi. Toetab krüptimist, kaardi ja lugeja vastastikust autentimist ning mitme rakenduse kasutamist ühel kaardil.
See on õpiku vastus. Kuid kui hindate neid tegeliku kasutuselevõtu jaoks, ei ütle õpik teile, mis tegelikult valesti läheb või mis teie eelarve jaoks tegelikult oluline on.
Viis erinevat hankespetsifikatsiooni ei ütle teile
Juurdepääsukaardi turvalisus ei ole binaarne - See on spekter
Kõige levinum viga juurdepääsukaartide hankimisel: eeldades, et "IC-kaart=turvaline, ID-kaart=pole turvaline." Reaalsus on sellest kihilisem.
ID-kaartidel on null krüpteering. Iga 125 kHz lugeja või 15-dollarine käeshoitav klooner loeb ja dubleerib seerianumbrit. Seda ei saa kaardi tasemel kuidagi vältida, kuna kaardil puudub autentimismehhanism.
IC-kaardid on turvalisemad, kuid kui palju rohkem, sõltub täielikult valitud kiibist. MIFARE Classic, ülemaailmselt enimkasutatud IC-kiip, kasutab krüpteerimisskeemi nimega CRYPTO1, mille Radboudi ülikooli teadlased{2}}töötasid täielikult tagasi 2008. aastal. Tänapäeval saavad sellised tööriistad nagu Flipper Zero MIFARE Classicu võtmeid ja kaarte kloonida ilma eriseadmeteta.
2024. aasta augustis läks olukord hullemaks: Quarkslabi teadlased avastasid riistvaralise tagaukse Fudan FM11RF08S kiipides, mis on Shanghai Fudan Microelectronics laialdaselt kasutatav MIFARE Classic{3}}ühilduv kiip. See tagauks võimaldab kõigil, kes tunnevad üht universaalset võtit, mõne minuti jooksul kahjustada kõiki nende kaartide kasutaja{5}}määratletud võtmeid. Mõjutatud kiipe kasutatakse USA, Euroopa, Hiina ja India hotellides, kontorites ja transiidisüsteemides.
Mida see teie hankeotsuse jaoks tähendab:
Kui keegi tsiteerib teile "IC-kaarte" ilma kiibi mudelit ja selle turvasertifikaadi taset täpsustamata, ei saa te turbeuuendust. Saate kallima kaardi, mis võib olla sama haavatav. Olulised IC-kaardi turbetasemed on:
| Turvalisuse tase | Kiibi näited | Krüpteerimine | Sobib kasutamiseks |
|---|---|---|---|
| Mitte ühtegi | EM4100, TK4100 (ID-kaardid) | Mitte ühtegi | Parkimine, külastajate temperatuurikaardid |
| Pärand (rikutud) | MIFARE Classic 1K/4K | CRYPTO1 (katki) | Madal-turvaaeg |
| Keskmine{0}}tase | MIFARE Plus (SL3 režiim) | AES-128 | Juurdepääs kontorisse, ülikoolikaardid |
| Kõrge | MIFARE DESFire EV2/EV3 (EAL5+ sertifikaat) | AES-128, vastastikune aut | Andmekeskused, finantsrajatised |
| Kõrgeim | CPU-kaardid (Java-kaart) | PKI-toega | Valitsus, sõjavägi |
Üks detail, mida tabelis näidata ei saa: MIFARE Plusil on kolm turbetaset (SL1, SL2, SL3), kuid paljud integraatorid juurutavad Plus-kaarte SL1-režiimis, et ühilduda olemasolevate klassikaliste lugejatega. SL1 režiimis on kaardi turvalisus sisuliselt sama, mis tavalisel MIFARE Classicul. See on tavaline stsenaarium "spetsiifiline uuendamine paberil, praktikas uuendamine puudub". Kinnitage alati, milline turvatase on tegelikult aktiveeritud, mitte ainult seda, milline kiibi mudel on tellimuse kinnitusele trükitud.
Syntek tarnib pääsukaarte kõigile viiele ülaltoodud tasemele alatesEM4100/TK4100 ID-kaardidMIFARE DESFire EV2/EV3 kaudu jaCPU-kaardid kõrge{0}}turvalisuse kontrollimiseks. Iga IC-kaart tarnitakse nii, et saatelehele on trükitud kiibi mudel, sest ilma dokumenteeritud kiibi spetsifikatsioonita kaart on kaart, mida te ei saa kontrollida.
"Odavam kaart" maksab pikemas perspektiivis rohkem
0,08–0,15 dollarit ühiku kohta EM4100 ID-kaartide puhul ja 0,30–0,60 dollarit MIFARE DESFire’i puhul, näib 5000-kaardi tellimusel kaardipõhine kokkuhoid reaalne. Kuid kaardi hind on kogukululehel ainult üks rida.
ID-kaardi süsteemid salvestavad kaardile endale nullandmed. Iga juurdepääsuotsus nõuab, et lugeja esitaks reaalajas päringu kesksesse andmebaasi. See tähendab, et iga lugeja vajab võrguühendust (rohkem kaabeldust, rohkem tõrkepunkte), süsteemi laiendamine tähendab uute lugejate juhtmestikku tagasi ühendamist serverisse ja võrguühenduseta toimimist ei toimu: kui võrk katkeb, jäävad uksed kas lukku või avanevad vaikimisi.
IC-kaardi süsteemid salvestavad kaardile load. Lugejad saavad teha juurdepääsuotsuseid kohapeal. Süsteemi laiendamine tähendab lugeja juurutamist ja kaardisektorite konfigureerimist, uut kaablit serverisse pole vaja.
Shenzhenis asuv kinnisvarahaldusettevõte sai selle teada pärast seda, kui siseaudit märkis, et nende parkimismaja väljastab rohkem igakuiseid kaarte, kui süsteem registreeris. Uurimine tuvastas, et töötajad dubleerivad Taobao tühje kaarte kasutades 125 kHz ID-kaarte. Kuna kaartidel polnud krüptimist, polnud ka tehnilist barjääri: igaüks, kellel on 15-dollarine kloonija, võis toota toimiva koopia. Ettevõte lammutas kogu ID-kaardi süsteemi ja võttis{5}}uuesti kasutusele krüpteeritud IC-kaardid, makstes kaks korda selle eest, mida oleks tulnud teha üks kord.
Mitu-rakendust: üks kaart, mitu süsteemi
Kuusteist sõltumatut sektorit. Seda annab teile standardne MIFARE Classic 1K IC-kaart ja iga sektor saab teenindada erinevat rakendust oma krüpteerimisvõtmetega: juurdepääsukontroll sektoris 1, tööajaarvestus sektoris 2, kohvikumakse sektoris 3.
ID-kaardid seda teha ei saa. Üks kaart, üks seerianumber, üks funktsioon. Kui soovite oma juurdepääsusüsteemi lisada kohvikumakse, siis väljastate teise kaardi või vahetate välja kogu taristu.
Ülikoolilinnakute ja tööstusparkide kasutuselevõtuks, kus "üks-kaart-kõige jaoks-" on eesmärk, ainuüksi see välistab 125 kHz ID-kaardid. Syntek toodab mitme-rakendusega IC-kaarte ja kahe-sagedusega komposiitkaarte, mis ühendavad 125 kHz kiibi ja 13,56 MHz kiibi ühel kaardikorpusel. Nii toimib ka enamik etapiviisilisi migratsioone.
Miks teie mobiilijuurdepääsu teekaart välistab ID-kaardid?
Teie töötajate nutitelefonid töötavad NFC-ga 13,56 MHz, samal sagedusel kui IC-kaardid. See tähendab, et IC-kaardi mandaate saab potentsiaalselt varustada telefonidega, võimaldades NFC{2}}põhist mobiilset juurdepääsu ilma füüsiliste kaartideta.
ID-kaardid sagedusel 125 kHz on telefoni NFC riistvarale täiesti nähtamatud. Mingit lahendust pole. Kui teie rajatise tegevuskava sisaldab mobiilset juurdepääsu järgmise kolme kuni viie aasta jooksul, on 125 kHz ID-kaardi süsteem ummiktee. Põhjalikuma ülevaate saamiseks NFC toimimisest juurdepääsukontrolli ökosüsteemides vaadake Syntekisissejuhatus RFID juurdepääsukontrollisüsteemidesse.
Miks teie mobiilijuurdepääsu teekaart välistab ID-kaardid?
Kui kasutate praegu 125 kHz ID-kaardi süsteemi ja turvalüngad puudutavad teid, ei ole süsteemi täielik väljavahetamine ainus võimalus. Kahe-sagedusega lugejad saavad korraga käsitleda nii 125 kHz kui ka 13,56 MHz kaarte. Koos kahe-sagedusega komposiitkaartidega (üks kaart, mis sisaldab nii ID-d kui ka IC-kiipi) saate kasutajaid migreerida etappide kaupa: ei mingit-päevast katkestust ega teenuse katkestust.
Kahe sagedusega{0}}migratsiooni tegelik kestus sõltub pääsupunktide arvust, töötajate voolavuse määrast ja sellest, kas teie taustatarkvara vajab värskendamist. 20-ukseline büroohoone võib valmis saada kolme kuuga. Mitme-hoonega tööstuspargil, kus on sisseostetud töötajad ja suur voolavus, võib kuluda üle aasta, et viimanegi vanade kaartide hulk pensionile saata. Ühine joon on see, et kahe sagedusega lähenemisviis võimaldab teil kapitalikulutusi eelarvetsüklite vahel hajutada, selle asemel, et neid ühe kindla summana absorbeerida.
Kui ID-kaartidel on ikka mõtet
Mitte iga stsenaarium ei vaja IC-taseme turvalisust. Kiire otsustamise filter:
Vali 125 kHz ID-kaardid, kui
haldate madalate turvanõuetega avatud parklaid, ajutist külastajate juurdepääsu, kus kaarte kogutakse ja iga päev uuesti väljastatakse (kloonimisrisk on minimaalne, kuna kaardi elutsükkel on lühike) või piiratud eelarvega{0}}uuendusi, kus olemasolev lugejataristu sagedus on 125 kHz ja mitme rakenduse funktsioone pole plaanis lisada.
Valige IC-kaardid, kui
kehtib mõni järgmistest: teie rajatises on alad, kuhu volitamata juurdepääs põhjustab vastutust (serveriruumid, laborid, juhtivad korrused); teil on vaja ühte kaarti, et töötada läbi juurdepääsu kontrolli, kohaloleku ja maksmise; teie turvapoliitika nõuab kontrolljälgi iga kaardiomaniku kohta; või kavatsete mobiilse NFC-juurdepääsu kasutusele võtta kolme aasta jooksul.
Kui teie vajadused kuuluvad teise rühma, ei ole järgmine küsimus "IC või ID", vaid "milline IC-kiibi tasand vastab teie riskiprofiilile". Vaadake ülaltoodud turvatabelit ja viige see oma tarnija vestlusesse.
Kuidas kontrollida, mida te tegelikult saate
Enne juurdepääsukaardi hulgitellimuse esitamist kinnitage oma tarnijaga kolm asja:
Kiibi mudel, mitte ainult "IC-kaart".
Küsige konkreetset kiipi: MIFARE Classic, MIFARE Plus, DESFire EV2 või midagi muud. Kui tarnija ei saa täpsustada, valib ta tõenäoliselt odavaima valiku. Syntekis on igas hinnapakkumises välja toodud täpne kiibi mudel ja NXP-jälgitav partii viide, sest nõuame seda enne sissetulevate materjalide vastuvõtmist meie enda kiibitarnijatelt.
Võtme lähtestamise omandiõigus.
Kes programmeerib krüpteerimisvõtmed, kas tootja või teie? Kui kaardid tarnitakse muutmata vaikevõtmetega, on teie "krüpteeritud" kaardid sama haavatavad kui ID-kaardid. 2024. aasta Fudani tagaukse avastus näitas, et isegi "karastatud" kiibid võivad sisaldada tehase{2}}tasemel haavatavusi. Oleme näinud, et ostjad saavad DESFire EV2 kaarte teistelt tarnijatelt, kus kõik sektorid kandsid endiselt NXP tehase vaikevõtmeid, kuna integraatori süsteem ei toetanud kohandatud võtmete pakkumist. Nad pidid müüjat vahetama ja{6}}kogu juurutamise uuesti üles kirjutama.
Lugeja ühilduvus.
Enne tellimist kinnitage oma olemasolevate lugejate sagedus ja protokolli tugi. 13,56 MHz IC-kaart, mis on seotud ainult 125 kHz -lugeriga, on kallis paberikaal. Kui te pole oma praeguste lugeja spetsifikatsioonides kindel, võib Syntek pakkudanii ID kui ka IC näidiskaardid dokumenteeritud kiibi spetsifikatsioonideganii et saate enne hulgitellimuse sooritamist testida ühilduvust.
Järgmine samm
IC- ja ID-kaartide vahel valimine on lähtepunkt. Tegelik otsus on see, milline kiip, milline turbetase ja milline süsteemi arhitektuur sobib teie konkreetsele rajatisele.
Syntek toodab pääsukaarte alates EM4100 kuni DESFire EV3 ja CPU kaartideni, igakuise mahuga üle 3 miljoni kaardi. Kui hindate uut kasutuselevõttu või plaanite üleminekut sageduselt 125 kHz,taotlege Syntek RFID-lt tasuta näidiseid koos kõigi kiibi spetsifikatsioonidegaoma olemasolevate lugejate vastu proovile panna. Rääkige meile oma praegusest süsteemi seadistusest ja me soovitame teie turvanõuetele ja eelarvele vastavat kiibi taset, mitte ainult riiuli kõige odavamat varianti.
Küsi pakkumist