Użytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisał w wiadomości
news:m3mws06mgq.fsf@intrepid.localdomain...

>> Mam inne zdanie. Bezstykowy interface karty sam w sobie nie jest zły.
>
[...]

>> Gdyby offline bezstykowo z PINem było stosowane to w bezpieczeństwie
>> prawie by się nie różniło od offline stykowo z PINem.
>
> Bardzo śmieszne.
>
> Niestety nawet jeśli karta wymaga PINu do każdej transakcji bezstykowej,
> to wciąż bez podawania PINu (ani w ogóle praktycznie niczego) można ją
> odpytać o takie szczegóły jak imię i nazwisko posiadacza oraz numer,
> datę ważności itd. Nie zostaje po tym żaden ślad.

Winisz interface za niedoskonałości protokołu.

> Bez kart bezstykowych można było zbierać dane o poruszaniu się
> samochodów (tablice rejestracyjne), ale śledzenie dowolnych ludzi (dużej
> i to tej "istotnej" części populacji) nie było możliwe (rozwiązania
> bazujące na rozpoznawaniu twarzy chyba słabo się sprawdzają nawet
> teraz). Śledzenie ludzi posiadających karty bezstykowe jest trywialne
> i praktycznie niewykrywalne

Moim zdaniem to też wina protokołu a nie bezstykowego interface'u.
Jakby protokół był odpowiedni to dało by się jedynie stwierdzić, że ktoś z
kartą znalazł się w pobliżu. Czyli niewiele więcej niż czujką ruchu.
Karta nie powinna dać się w żaden sposób zidentyfikować przez nieuprawnione
osoby.
Ale muszę się zgodzić że śledzenie przez tych uprawnionych jest faktycznie
problemem, o którym nie pomyślałem.
A że protokoły są (może celowo) bez sensu to i śledzenie przez
nieuprawnionych jest możliwe.

>> Możliwość podsłuchania komunikacji RFID (prawdopodobnie z odległości
>> rzędu 1m) niewiele wnosi bo jest ona (chyba) dobrze kodowana.
>
> "Chyba" to takie niedobre słowo w dziedzinie bezpieczeństwa.

Bardzo niedobre w ustach osoby odpowiedzialnej za dany system.
Ale w ustach kogoś kto nie wie, ale ma prawo podejrzewać że tak jest słowo
"chyba" jest (chyba) do przyjęcia :-).
P.G.