Wat is RFID-gegevensbeveiliging?
Dec 10, 2025
Laat een bericht achter
Wat is RFID-gegevensbeveiliging?
Vorig jaar belde een klant ons woedend. Hun toegangscontrolekaarten waren ‘gehackt’. Blijkt dat ze nog steeds 125 kHz proximity-kaarten gebruikten van tien jaar geleden. Iemand liep langs een medewerker in de metro met een apparaat ter grootte van een telefoon-, en de volgende ochtend werd hun magazijn benaderd door een onbekende partij met behulp van een gekloonde kaart.
Bij SYNTEK maken we al bijna 20 jaar RFID-producten. Dit soort verhalen zijn niet zeldzaam. We hebben gezien dat bedrijven miljoenen uitgeven aan systemen voor het volgen van activa, om vervolgens te ontdekken dat elke lezer van $ 30 van AliExpress hun tags kan herschrijven. We hebben aanwezigheidssystemen gezien waarbij dubbele kaarten-hetzelfde kaartnummer in drie verschillende steden tegelijk verschenen.
"RFID-gegevensbeveiliging klinkt ingewikkeld, maar het kernprobleem is doodeenvoudig: draadloze signalen kunnen worden onderschept. Het lastige deel? De meeste kopers hebben geen idee welk beveiligingsniveau ze daadwerkelijk krijgen."
Dit is waar niemand over praat
RFID is een open draadloos systeem. Uw tag en reader communiceren via radiogolven. Iedereen met de juiste uitrusting kan meeluisteren.
Draadloze communicatie vindt plaats in de open lucht, waardoor afluisteren mogelijk is zonder fysiek contact.
Het probleem begon al vroeg. Toen fabrikanten deze chips voor het eerst ontwierpen, concentreerden ze zich op "kunnen we het lezen?" niet "moeten we je het laten lezen?" Veel chips hebben geen authenticatie. De lezer vraagt: "wie ben jij?" en de tag geeft gewoon... antwoord. Het maakt niet uit of het een legitiem apparaat is of een man met een Proxmark in zijn rugzak.
Stel je voor dat je over straat loopt en luid je burgerservicenummer aankondigt aan iedereen die erom vraagt. Dat is eigenlijk hoe veel RFID-kaarten werken.
Waarom 125kHz-kaarten een veiligheidsgrap zijn
Hier is iets waar de industrie geen reclame voor maakt: een groot deel van de toegangskaarten die nog steeds in gebruik zijn, draaien op technologie uit de jaren negentig.
Deze kaarten werken op 125 kHz. Chipmodel is meestal EM4100 of TK4100. Hoe werken ze? Opstarten, ID uitzenden, klaar. Geen encryptie. Geen authenticatie. Gewoon een vast nummer opgeslagen op de chip.
Kosten om er één te klonen? Misschien $ 20 voor een reader-writer van Amazon, en nog eens $ 5 voor blanco kaarten. Drie minuten werk.
Klanten vragen ons soms: "Kun je een gecodeerde 125kHz-kaart maken?"
Kort antwoord: nee. Het protocol zelf ondersteunt geen serieuze beveiliging. Als je bescherming wilt, ga je naar 13,56 MHz hoge frequentie of UHF, met chips zoals MIFARE DESFire of ICODE DNA die daadwerkelijk AES-codering ondersteunen.
Hoe aanvallen er eigenlijk uitzien
Op basis van gesprekken met onze klanten blijkt dat RFID-beveiliging op de volgende punten in de praktijk faalt:
Toegang tot het klonen van kaarten
De aanvaller hoeft jouw kaart niet aan te raken. Een lezer met hoge versterking-verborgen in een tas, een paar seconden achter je staand in een lift of in de lunchrij-dat is genoeg om de gegevens te verzamelen. Schrijf het op een blanco kaart en nu hebben ze jouw toegang.
Eén vastgoedbeheerbedrijf vertelde ons over een reeks inbraken-in hun wooncomplex. De politie kwam er uiteindelijk achter dat de inbreker de toegangskaarten van bewoners aan het klonen was. De toegangslogboeken van het gebouw? Ze toonden allemaal de eigen kaartnummers van de slachtoffers. Geen spoor van de daadwerkelijke indringer.
Gegevensmanipulatie
Als uw RFID-systeem inventaris of activa bijhoudt, slaan de tags feitelijke informatie op, niet alleen ID's. Dat is waar de zaken rommeliger worden.
Beschrijfbare tags zijn ontworpen voor updates-nuttige functies. Maar zonder schrijfbeveiliging kan iedereen wijzigingen aanbrengen. Iemand in de toeleveringsketen ruilt 'standaardkwaliteit' in voor 'premium' op de taggegevens, of schuift de productiedatum met zes maanden naar voren. Het gebeurt.
Speel aanvallen opnieuw af
Deze is stiekem. De aanvaller hoeft niets te decoderen. Ze nemen alleen het gesprek tussen uw tag en de lezer op en spelen het later af.
Zie het als volgt: u veegt met uw kaart om een deur te openen en iemand in de buurt neemt de hele radio-uitwisseling op. De volgende keer richten ze hun apparaat op de lezer en drukken ze op play. Deur gaat open. De lezer denkt dat hij uw kaart zojuist opnieuw heeft gezien.
Om dit te stoppen hebben systemen uitdaging-reactieprotocollen-in principe eenmalige- wachtwoorden nodig. Elke authenticatie is anders, waardoor opnames nutteloos worden.
De afweging tussen kosten en beveiliging (en waarom dit niet eenvoudig is)
Klanten vragen ons voortdurend: betekenen duurdere chips betere beveiliging?
In grote lijnen wel, maar het is niet lineair.
| Chiptype | Geschatte kosten | Beveiligingsstatus |
|---|---|---|
| 125 kHz EM4100 | $0.10 | Geen |
| 13,56 MHz MIFARE Klassiek | ~$0.40 | Gecompromitteerd (2008) |
| MIFARE DESFire EV3 | $1-2 | AES-128 / Hoog |
Een 125 kHz EM4100-kaart kost misschien $ 0,10. Stap over naar 13,56 MHz MIFARE Classic en je zit op misschien $ 0,40, maar de beveiliging is niet veel beter (de codering van die chip werd in 2008 gekraakt). Ga naar MIFARE DESFire EV3 met AES-128 en wederzijdse authenticatie, je kijkt naar $1-2 per kaart, maar er zijn geen bekende publieke exploits.
De vraag is: heb je dat niveau eigenlijk wel nodig?
Als u in een fabriek sleutels aan het traceren bent, betekent het verliezen van een sleutel dat u een vervanging moet bestellen. Als u de toegang tot een bankkluis controleert, betekent een gekloonde kaart iets heel anders.
Ons advies aan klanten: begin met "wat is het ergste geval als dit in gevaar komt?" werk dan achteruit. De helft van de tijd is het geen technisch probleem, maar een perceptieprobleem.
Wat je kunt doen zonder alles te vervangen
Sommige situaties hebben echt behoefte aan goedkope tags-evenementpolsbandjes, grote- logistieke labels. Premiumchips voor alles zijn niet realistisch. Maar je hebt andere opties:
Beperk het leesbereik
Een groter leesbereik is niet altijd beter. NFC is ontworpen voor een paar centimeter-je moet de lezer eigenlijk aanraken. Maakt skimmen op afstand veel moeilijker.
Sommige hoogbeveiligde clients waarmee we werken, installeren lezers in gesloten behuizingen. De kaart moet volledig ingestoken zijn om te registreren. Blokkeert fysiek zij-kanaalaanvallen.
RFID-afscherming
Het kooiprincipe van Faraday. Wikkel de tag in geleidend materiaal, radiogolven kunnen er niet in of uit. Dat is wat RFID-blokkerende hoesjes en portemonnees doen. We maken ook afschermingsproducten-kijk in het gedeelte 'RFID Signal Blocker' op onze site.
Als je de kaart niet gebruikt, zit deze in de hoes. Niemand kan het scannen. Wanneer je het nodig hebt, trek je het eruit. Simpel, effectief, goedkoop.
Scheid ID van gegevens
Een andere aanpak: bewaar alleen een willekeurige, betekenisloze ID op de tag. Bewaar actuele gevoelige gegevens in uw backenddatabase. Zelfs als iemand de tag kloont, krijgt hij een nutteloze string. Zonder overeenkomende backend-records is het onzin.
Hierdoor verschuift het risico van de tag naar uw serverinfrastructuur. Maar het houdt de tagkosten laag.
Wederzijdse authenticatie-die het begrijpen waard is
Eerder genoemde uitdaging-reactie. Laat me hier verder op ingaan, omdat het vaak verkeerd wordt begrepen.
Traditionele RFID-authenticatie is één-richting: de lezer verifieert de tag. Maar toepassingen met hoge-beveiliging hebben twee-authenticatie nodig-de tag verifieert ook dat de lezer legitiem is.
Hier is de stroom:
Lezer stuurt tag een willekeurig getal (de uitdaging)
Tag voert dat nummer door de interne sleutel en stuurt het resultaat terug
Reader voert dezelfde berekening uit met dezelfde sleutel, vergelijkt
Vervolgens stuurt de tag de lezer een willekeurig getal
Reader berekent, stuurt terug, tag verifieert
Beide partijen moeten passeren voordat er echte gegevensuitwisseling plaatsvindt. Dit betekent dat een neplezer tags niet kan misleiden om informatie op te geven.
MIFARE DESFire ondersteunt dit. Vrijwel verplicht voor elk project dat we met banken of overheidsinstanties doen.
Praktische zaken voordat je vertrekt
1. Zoek uit wat je momenteel gebruikt
Veel bedrijven laten RFID-systemen installeren door iemand die jaren geleden is vertrokken. De huidige IT-afdeling heeft geen idee wat er daadwerkelijk wordt ingezet. Vraag de specificaties op bij uw leverancier-en zorg dat u op zijn minst de frequentie en het chipmodel kent.
2. Kwantificeer uw ergste geval
Wat is de schade als uw toegangskaarten worden gekloond? Als er met inventaristags wordt geknoeid, wat is dan de blootstelling? Zet er een nummer op. Bepaal vervolgens of een upgrade de moeite waard is.
3. Zorg voor een laagje beveiliging
Niet alles heeft maximale bescherming nodig. Reguliere werknemersbadges kunnen chips uit het midden-niveau bevatten. De deuren van serverruimtes en financiële kantoren zijn voorzien van hoogwaardige-beveiligingschips. Magazijnlogistiek-tags kunnen goedkoop zijn met backend-verificatie.
4. Voer regelmatig audits uit
RFID is niet ingesteld-en-vergeten. Controleer de toegangslogboeken op afwijkingen. Dezelfde kaart verschijnt tegelijkertijd op twee locaties. Toegangspogingen na- uur. Patronen die nergens op slaan.
5. Plan voor upgrades
Als het budget nu krap is en u kiest voor een oplossing uit het midden-segment, kies dan in ieder geval een architectuur die toekomstige upgrades mogelijk maakt. Sluit uzelf niet op in een gesloten systeem dat binnen drie jaar volledig moet worden vervangen.
Vragen? Bij SYNTEK doen we dit al bijna twintig jaar. Meer faalmodi gezien dan je zou verwachten. Of u nu een nieuw systeem specificeert of een bestaand systeem controleert, wij staan u graag te woord.
Aanvraag sturen