नया शोध आरएफआईडी स्मार्ट कार्ड सुरक्षा में गंभीर खामियां उजागर करता है

अभूतपूर्व अध्ययन से व्यापक रूप से उपयोग किए जाने वाले आरएफआईडी स्मार्ट कार्ड में कमजोरियों का पता चलता है

टेक्नियन यूनिवर्सिटी में इंस्टीट्यूट ऑफ साइबर सिक्योरिटी के एक नए व्यापक अध्ययन ने एक्सेस कंट्रोल, भुगतान प्रणाली और सार्वजनिक परिवहन में सर्वव्यापी आरएफआईडी (रेडियो-फ्रीक्वेंसी आइडेंटिफिकेशन) स्मार्ट कार्ड की सुरक्षा के संबंध में महत्वपूर्ण चिंताएं बढ़ा दी हैं।

"आधुनिक आरएफआईडी कार्यान्वयन की स्तरित असुरक्षा" शीर्षक वाला शोध दर्शाता है कि वर्तमान में तैनात आरएफआईडी स्मार्ट कार्ड का एक बड़ा हिस्सा पुराने या कमजोर रूप से कार्यान्वित एन्क्रिप्शन प्रोटोकॉल पर निर्भर करता है। शोधकर्ता किफायती, ऑफ-द-शेल्फ हार्डवेयर का उपयोग करके कई सामान्य कार्ड मॉडलों की सुरक्षा को पूरी तरह से बायपास करने, क्लोन करने और कुछ मामलों में सक्षम थे।

प्रमुख शोधकर्ता डॉ. ऐलेना वेंस ने बताया, "कई संगठन और उपभोक्ता मानते हैं कि ये कार्ड स्वाभाविक रूप से सुरक्षित हैं।" "हमारे निष्कर्षों से पता चलता है कि सुरक्षा की झूठी भावना व्यापक है। हमने दूर से कार्ड और पाठकों के बीच संचार को सफलतापूर्वक रोका, अद्वितीय पहचानकर्ताओं को इकट्ठा किया, और कार्यात्मक डुप्लिकेट बनाने के लिए क्रिप्टोग्राफ़िक कमजोरियों का फायदा उठाया।"

कमजोरियाँ कई कारकों से उत्पन्न होती हैं: MIFARE क्लासिक जैसे विरासत प्रोटोकॉल का निरंतर उपयोग, निर्माताओं और अंतिम-उपयोगकर्ताओं द्वारा खराब कुंजी प्रबंधन प्रथाएं, और वायरलेस संचार की भौतिक प्रकृति, जो स्वाभाविक रूप से स्किमिंग और रिले हमलों के लिए अतिसंवेदनशील है। अध्ययन इस बात पर प्रकाश डालता है कि हालांकि उच्च-सुरक्षा कार्ड (उदाहरण के लिए, आधुनिक एईएस एन्क्रिप्शन का उपयोग करने वाले) मौजूद हैं, लागत में कटौती के कारण अक्सर घटिया तकनीक की तैनाती होती है।

निहितार्थ गंभीर हैं. दुर्भावनापूर्ण अभिनेताओं के लिए अनधिकृत भवन पहुंच, धोखाधड़ी वाले भुगतान, पहचान की चोरी और व्यक्तियों की गतिविधियों पर नज़र रखना संभव हो जाता है। महत्वपूर्ण बुनियादी ढांचे, कॉर्पोरेट कार्यालय और होटल के कमरे के ताले जो पूरी तरह से इन कमजोर कार्डों पर निर्भर हैं, विशेष रूप से जोखिम में हैं।

निष्कर्षों के जवाब में, साइबर सुरक्षा विशेषज्ञ बहुस्तरीय सुरक्षा दृष्टिकोण का आग्रह कर रहे हैं। सिफ़ारिशों में शामिल हैं:

• चरणबद्ध तरीके से समाप्त होना आधुनिक, क्रिप्टोग्राफ़िक रूप से मजबूत विकल्पों के पक्ष में विरासत आरएफआईडी कार्ड।

• कार्यान्वयन दो-कारक प्रमाणीकरण (उदाहरण के लिए, कार्ड प्लस पिन या बायोमेट्रिक्स)।

• नियमित सुरक्षा ऑडिट और भौतिक पहुंच प्रणालियों का प्रवेश परीक्षण।

• उपयोगकर्ता जागरूकता सार्वजनिक स्थानों पर कार्ड स्किमिंग के जोखिमों के बारे में।

प्रमुख कार्ड निर्माताओं ने रिपोर्ट को स्वीकार किया है, साथ ही कई ने पुरानी प्रौद्योगिकी लाइनों की सेवानिवृत्ति में तेजी लाने की प्रतिबद्धता जताई है। मानक निकाय भी सख्त प्रमाणन प्रक्रियाओं को अनिवार्य करने के दबाव में हैं।

डॉ. वेंस ने निष्कर्ष निकाला, "आरएफआईडी स्मार्ट कार्ड की सुरक्षा एक स्थिर विशेषता नहीं है; यह एक सतत हथियारों की दौड़ है।" "यह शोध एक चेतावनी है। जैसे-जैसे हम इन प्रौद्योगिकियों को अपने दैनिक जीवन और महत्वपूर्ण प्रणालियों में गहराई से एकीकृत करते हैं, हमें उनके लचीलेपन में उतनी ही तत्परता से निवेश करना चाहिए जितना हम अपने डिजिटल नेटवर्क के लिए करते हैं।"

पूरी तकनीकी रिपोर्ट क्रिप्टोग्राफिक हार्डवेयर और एंबेडेड सिस्टम (सीएचईएस) पर आगामी अंतर्राष्ट्रीय सम्मेलन में प्रस्तुत की जाएगी।