Hoe zit het eigenlijk met de veiligheid van toegangspassen?
Het beveiligingsniveau van toegangspassen staat ter discussie vanwege bekende kwetsbaarheden, vooral bij proximity-kaarten en onbeveiligde smartcards. Deze kaarten zijn gevoelig voor kopiëren, wijzigen van kaartnummers en verandering van inhoud. Dat schrijft Maarten Mijwaart van Explicate in zijn nieuwste blog.
Het is belangrijk om te onthouden dat de kaart slechts één onderdeel is van het beveiligingssysteem en dat het mogelijk is om vrijwel elk type toegangspas te gebruiken, mits men zich bewust is van de risico’s en passende maatregelen neemt, zoals het implementeren van multi-factor authenticatie (MFA).
De blog behandelt specifiek het beveiligingsniveau van de pas zelf en niet de communicatie tussen lezers en toegangssystemen. Kwetsbaarheden zoals Wiegand-communicatie tussen kaartlezer en systeem worden buiten beschouwing gelaten omdat dit van toepassing is op elke kaart-lezercombinatie die deze interface-methode gebruikt.
Bekende veiligheidslekken
Er worden vier categorieën van bekende veiligheidslekken voorgesteld, variërend van kwetsbaarheden die het klonen van kaarten mogelijk maken tot kwetsbaarheden waarbij het beschermingsniveau afhankelijk is van de specifieke configuratie en instelling van kaart en lezer. De meeste zwakke punten zijn al meer dan tien jaar bekend, maar het is altijd mogelijk dat beveiligingssystemen worden gekraakt.
Verschillende kaarttypen worden besproken, waarbij hun huidige beveiligingsstatus wordt geanalyseerd. De implementatie van mobile access systemen wordt ook besproken als een steeds gangbaardere optie, waarbij de beveiliging afhankelijk is van de fabrikant en de gebruikte technologie (NFC of BLE).
De blog concludeert met advies voor organisaties, waarbij wordt gewezen op de ervaring en mogelijkheden van partners zoals Suprema en Gamanet op het gebied van toegangsbeheer. Het benadrukt het belang van het vinden van de juiste balans tussen gebruiksgemak, investering, compatibiliteit en beveiligingsniveau bij het kiezen van een beveiligingssysteem.
De volledige blog is hier te lezen.