[心得] IC 卡的安全問題

看板CSSE (電腦科學及軟體工程)作者reader (讀者)時間20年前 (2005/01/02 21:23)推噓2(2推 0噓 0→)

留言2則, 1人參與討論串1/1

前兩個月做了一個 IC 卡的案子，用的是記憶體卡。做了一半才發現，原來 IC 卡還真是一個不怎麼安全的東西。我用的是西門子的 SLE4428, 是目前最流行的低價 IC 記憶體卡，它有 2 bytes 的密碼，其他許多卡則往往根本沒有密碼保護。而根據經驗，我想一定有不少用這張卡的系統都沒有設定密碼。由於沒有密碼檢查就什麼都不能做，所以一個 IC 記憶卡系統的密碼，就算有做設定修改，除非是需要使用者自行輸入密碼的系統，不然單靠卡片來驗證的系統，則肯定是同一個密碼。更別提其他根本沒有密碼保護的卡片了。也就是說，只要會使用 Microsoft SmartCard SDK, 想要破解任何一個 IC 記憶卡系統，若是系統開發商沒有仔細做安全規劃，都不會是一件足夠困難的事情。特別是卡片本身相當便宜，想要自行偽造十分容易。當然，想要有足夠的安全性，總是要靠整體系統的配合，單靠一項技術就想要建構系統安全，是一件很不牢靠的事情，這也算是基本常識了。只是社會對於 IC 卡的信任，顯然遠超過這個技術本身內建的安全性，恐怕遲早會出現大問題。 -- SLE4428 的中文簡介資料： http://www.21ic.com/new_info/news/files/news/200484131849.html -- 此文不歡迎媒體炒作，也請勿轉載。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.222.173.26