Kako odabrati beskontaktne kartice za kontrolu pristupa i evidenciju radnog vremena?

Značaj kartica u moderno vrijeme

Kartice su danas neizostavni dio naše svakodnevice. Koristimo ih za plaćanje, pristup objektima, u svrhu evidencije radnog vremena ili identifikacije, za studentske potrebe (popularna iksica) i za još mnogo toga. Danas u novčanicima često imamo više vrsta i tipova kartica koje koristimo za različite potrebe. Čak i osobnu iskaznicu danas možemo iskoristiti u napredne svrhe koje pruža tehnologija. Ono što korisnici često ne znaju jest činjenica da postoje različite tehnologije kartica i da ne pruža svaka kartica jednaku razinu sigurnosti. Isto tako, tehnologije kartica koje koristimo se neprestano razvijaju i poboljšavaju kako bi se osigurala viša razina sigurnosti i eliminirali određeni sigurnosni propusti.

Magnetske kartice

Početkom 70-ih godina prošlog stoljeća tvrtka VingCard je patentirala bušenu karticu za hotelske sobe. Princip rada je bio da se na recepciji kartica bušila s određenom kombinacijom i s tom karticom se moglo ulaziti u sobu. Brave su bile mehaničke i nije bilo elektronskih brava. Danas svi imamo RFID kartice (mobitel, osobna iskaznica, vozačka, bankovne kartice, biometrijska putovnica i sl.) Radi se o karticama koje imaju RFID čip. Idejni početci testiranja RFID tehnologije bili su još tijekom Drugog svjetskog rata, a značajnija komercijalna primjena počela je 80-ih godina prošlog stoljeća. RFID tehnologija nije stala s razvojem već svaki dan dobivamo nove mogućnosti korištenja takve vrste kartica.

Princip rada kartica

Kako bi se kartice mogle čitati, moramo imati terminal/čitač kartica (primjerice, čitači za evidenciju radnog vremena, POS uređaji i sl). Takvi uređaji rade na baterije i na struju i imaju na sebi antenu. Ta antena odašilje magnetsko polje u blizini. S druge strane, kartica u sebi ima antenu i čip. Najčešće korišteni tip kartica nema u sebi nikakvu bateriju već su to pasivne kartice s antenom i čipom. Kada se kartica približi dovoljno blizu uređaju, kartica se napoji tom induciranom snagom koju dobije od čitača i taj čip pošalje digitalni kod prema čitaču. Dakle, kartice koje nosimo u džepu potpuno su van funkcije i nemaju nikakvu svrhu dok nisu blizu čitača.

Ista stvar je i s privjescima – imaju antenu i čip pomoću kojeg onda čitaju kodove, odnosno šalju prema čitaču kod koji čitač može pročitati.

Smiju li se kartice probušiti?

Čest upit koji dobivamo od kupaca je smiju li karticu probušiti kako bi ju mogli nositi oko vrata? To zavisi o samoj anteni. Postoje kartice koje imaju okruglu antenu i mogu se probušiti. Međutim, ako kartice imaju antenu duž ruba same kartice, tada nije moguće probušiti takve kartice jer će se kartica uništiti i neće više biti u funkciji.

RFID kartice i tagovi

Postoje pasivne i aktivne kartice i tagovi. To ovisi u prvom redu imaju li kartice/tagovi bateriju u sebi i tada se one smatraju aktivne. Primjerice, ENC je primjer aktivne kartice.

Kod pasivnih kartica je prednost neograničeno trajanje jer nemaju bateriju tako da se ne mogu isprazniti. Dimenzije kartice su manje (prikladne za svakodnevno nošenje), jednostavno se printaju (primjerice, logo tvrtke, ime i prezime i sl.). Postoje različite dimenzije (kartice, tagovi, naljepnice, narukvice i čipovi koji se mogu ugraditi pod kožu). Mana pasivnih kartica je domet koji ovisi o magnetskom polju čitača (domet čitanja je najčešće do 20 cm).

Za razliku od pasivnih kartica, aktivne kartice imaju veliki domet čitanja (i to je njihova najveća prednost). Domet čitanja je čak do 150m (primjer je ENC). Mana tih kartica je ograničeno trajanje baterije (nekoliko godina). Većih su dimenzija i nije moguće printanje  (mogu se jedino staviti naljepnice) i ne postoje različite vrste izvedbi koje postoje kod pasivnih kartica.

RFID UHF kartice i tagovi

UHF kartice spojile su najbolje iz dva svijeta kartica o kojima smo pisali ranije – pasivnih i aktivnih. UHF kartice mogu biti aktivne, ali najčešće se koriste pasivne kartice koje mogu biti izvedbe kao naljepnice ili kao standardne kartice. Malih su dimenzija, mogu se jednostavno printati i predviđene su da čitaju više tagova istovremeno. Koja je ideja? Zamislimo da stojimo u redu s košaricom u kojoj su artikli koje namjeravamo kupiti. UHF tehnologija bi omogućila da se ne moraju artikli zasebno jedan po jedan vaditi već prolazimo s košaricom pored antene na blagajni i svi artikli se istovremeno očitaju.

Primjena RFID kartica (pasivne kartice i tagovi)

Kartice kratkog dometa (do 20 cm) mogu biti low frequency i high frequency. Najčešće se koriste kao bankovne kartice i za evidenciju radnog vremena te kontrolu pristupa. S druge strane, RFID većeg dometa UHF (5-10m) koristimo za kontrolu pristupa vozila (primjerice, kad se vozilom približavamo rampi, sustav prepoznaje kod i rampa se automatski diže).

UHF tehnologiju koristili smo za evidenciju radnog vremena i kontrolu pristupa za radnike u brodogradilištima. Iznad ulaza su postavljene antene koje su očitavale kacige radnika u kojima se nalazio UHF tag i tako se je znalo tko je od radnika na brodu. S druge strane, tvrtka možda želi registrirati zaposlenike svaki put kad uđu u neki prostor tako da je mogućnost primjene i na tom području.

UHF tehnologija se često koristi i za inventuru, odnosno za popis osnovnih sredstava na način da se tagovi stave na osnovna sredstva i može se, pomoću čitača, vrlo brzo očitati sva sredstva u jednoj sobi bez da se očitava svako osnovno sredstvo pojedinačno.  

RFID LF (proximity)/HF (smartcard)

Kod RFID tehnologije najvažnija su dva segmenta kartica: low frequency (proximity) i high frequency (smartcard).

Proximity kartice rade na 125 kHz. Najčešći ponuđači ovih kartica su EM125kHz, Indala i HIDprox. Razina sigurnosti ovih kartica je vrlo niska. To znači da se danas mogu kupiti čitači (na slici je jedan od takvih čitača za svega 11.09 eura) koji će čitati ovu vrstu kartica i vrlo jednostavno kopirati i omogućiti korištenje pojedinačne kartice. Posebno je preporuka da se ova tehnologija ne koristi za kontrolu pristupa. Standardni domet čitanja je otprilike 20 cm. Postoje i veliki čitači koji su slični čitačima u trgovinama koji služe za zaštitu od krađe artikala i u tom slučaju domet može biti do 1,5 metara.

Pametne kartice rade na 13,56 MHz i puno više informacija mogu razmijeniti s čitačem. U ovom segmentu najpoznatije tehnologije su Mifare Classic/DESfire/HID iClass/Legic Advant. Zanimljivo je istaknuti da su bankovne kartice, vozačka i osobna Mifare DESfire vrsta kartica.

Smart kartice se i dalje kontinuirano razvijaju kao i UHF tehnologija dok su Proximity kartice stale s razvojem upravo zbog vrlo loše razine zaštite. Smart kartice (ovisno o modelu) imaju srednju i visoku razinu sigurnosti. Standardni domet čitanja je kraći od Proximity kartica, a glavni razlog je što imamo puno više informacija koje se moraju razmijeniti. Smart kartice imaju, osim čipa sa serijskim brojem, i memorijsko područje koje se može koristiti. To memorijsko područje može biti od 1 kB pa sve do 32 kB.

Koja je razlika LF vs HF kartica?

Low frequency (LF) kartice:

• Imaju samo CSN broj (chip serial number)
• Ne postoji zaštita
• Ne postoji memorija
• CSN je dostupan bilo kojem kompatibilnom LF čitaču

High frequency (HF) kartice:

• Imaju CSN broj
• Zaštićeno memorijsko područje (sektore) dostupne samo čitaču s odgovarajućim ključem
• CSN dostupan bilo kojem kompatibilnom HF čitaču

Glavna prednost HF kartica je što, osim CSN broja imaju i sektore koje možemo usporediti s particijama na disku. Sektori su memorijska područja u koja možemo zapisivati i s njih čitati podatke. Primjerice, moguće je u jedan sektor pohraniti podatke za kontrolu pristupa, u drugi sektor pohraniti podatke vezano za mjesečni pokaz u javnom prijevozu i sl. Dakle, moguće je na istoj kartici pohraniti više različitih kategorija podataka koje ćemo koristiti u svakodnevnom životu. Sektori imaju ključ koji ne dopušta slobodan pristup do sektora. To znači da čitači moraju kod sebe imati programiran ključ kojim će se moći očitati kartica. Dakle, to je viša razina sigurnosti koja omogućuje bolju zaštitu. Ovo može biti zanimljivo poduzećima jer je moguće povezati kartice za kontrolu pristupa sa printerima i na taj način postaviti pravila vezano za printanje. Primjerice, može se određenim zaposlenicima dopustiti ili zabraniti korištenje printera i preuzimanje materijala s printera te je moguće provjeriti tko je od zaposlenika, kada i što printao.

Sigurnost kartica

Kada govorimo o sigurnosti kartica, LF kartice od 125kHz (EM, HIDprox, Indala) imaju vrlo nisku razinu sigurnosti i vrlo jednostavno se može kopirati CSN. S druge strane, pametne kartice – smartcard (13,56 MHz) imaju različite razine sigurnosti. U nastavku ćemo opisati neke od tih kartica. 

Mifare Classic – njihova sigurnost je probijena još 2010. godine. To znači da se CSN i sektor mogu vrlo jednostavno kopirati što ih čini izuzetno nesigurnima i nije pouzdana za korištenje u segmentima gdje se zahtjeva visoka razina sigurnosti

HID iClass – zaštita ovih kartica je probijena 2010. godine i mogu se kopirati i sektori i CSN broj. Kao i Mifare Classic, i ove kartice se se ne smatraju sigurnima.

Mifare DESfire EV1/EV2/EV3 – EV1 i EV2 generacije kartica su vrlo zaštićene i zaista ih je teško kopirati, a EV3 ima najveću moguću zaštitu i najveću razinu sigurnosti. Važno je napomenuti da kod EV1 generacije kartica postoji mogućnost kopiranja CSN-a, ali ne i sektora zbog toga je sigurnost tih kartica visoka.

HID iClass SEOS je nova generacija HID iClass tehnologije kod koje se koriste sektori i predstavljaju najvišu razinu sigurnosti kartica. Sektor je u ovim karticama zaštićen i u njemu se nalazi broj kartice. Upravo zato i predstavlja najveću razinu sigurnosti.

Najveći problem kod kartica koje se mogu kopirati je taj što se mogu vrlo povoljno nabaviti uređaji koji će kopirati kartice kao što je to ranije spomenuto. 

Sigurnost čitača RFID kartica

Kada govorimo o HID iClass čitačima, treba reći da postoje različite izvedbe ovih čitača. U nastavku ćemo opisati neke od njih. 

HID iClass SE – standardni iClass čitač s podrškom za iClass tehnologiju i podrškom za serijski broj čipa za Mifare, DESfire kartice s time da se ta podrška može isključiti i omogućiti samo podršku za HID iClass SEOS. To znači da čitač komunicira sa sektorom i ima zapisan ključ tako da je razina sigurnosti maksimalna u ovom slučaju.

HID mClass SE (LF+HF). Postoje situacije kada poduzeće već ima neke druge sustave (LF kartice) i ne žele mijenjati kartice, tada se može iskoristiti HID mClass SE (LF+HF), multiClass čitač koji osim Mifare serijskog broja čipa i HID iClass tehnologije čita i 125kHz kartice. U tom slučaju se mogu koristiti stare kartice. S jedne strane je to prednost jer znači prilagodljivost, a s druge strane je veliki problem sa strane sigurnosti i zato je preporuka zamijeniti kartice koje koriste staru tehnologiju s ovima koje su sigurnije za korištenje.

HID iClass SE+BLE (HF) – ovi čitači mogu, osim HID iClass kartice čitati i virtualnu karticu koja ima certifikat na mobitelu. Drugim riječima, nije potrebno kod sebe imati karticu već je vrata moguće otvarati preko mobitela.

Ako se ipak koriste stare tehnologije kartica, a želimo podići razinu sigurnosti možemo kombinirati dvofaktorsku autentifikaciju. To znači da možemo dodatno postaviti čitač koji ima mogućnost unosa PIN-a ili čitač koji može čitati otisak prsta. U tom slučaju, kada prislonimo karticu, vrata se neće odmah otvoriti dok god ne unesemo PIN kod ili dok sustav ne prepozna otisak prsta osobe koja ima ovlašten pristup. Ovo je odlična stvar ako korisnik izgubi karticu jer nitko ne može ući ako ne zna, primjerice, PIN za ulazak tako da je razina sigurnosti veća.

Važno je istaknuti da kod biometrije treba paziti na GDPR i potrebno je, prije uvođenja, provjeriti na koji način se može uvesti, odnosno što je sve potrebno zadovoljiti prije uvođenja takvog sustava.

Kod korištenja biometrije važno je istaknuti da, ako je želimo koristiti s karticom kao dodatnom metodom identifikacije osobe, moguće je uvesti to na dva načina. Standardni način je da se snimka lica ili otiska prsta nalazi u čitaču/sustavu i kada se prisloni kartica ili se prisloni prst usporedi se sa snimkom koja se nalazi u sustavu i sustav provjeri je li to ta osoba. Dakle, naš otisak prsta je u ovom slučaju i u sustavu i u čitaču. Drugi način je da se koriste kartice s većom memorijom i u tom slučaju kada se provodi očitavanje otiska prsta taj otisak će biti zapisan na vašoj memorijskoj kartici i svaka osoba praktički ima tu snimku otiska prsta „kod sebe“ na kartici i ne pohranjuje se nigdje u sustavu ili čitaču. Dakle, koristi se biometrija, ali je zaposlenik ili korisnik „vlasnik“ te kartice i ne pohranjuju se podaci negdje u sustavu. Takav način može biti posebno zanimljiv u kontekstu GDPR-a jer pruža najveću razinu zaštite kada je riječ o sigurnosti osobnih podataka. 

Terminali za radno vrijeme

HID iClass SE+BLE (HF) – moguće je koristiti HID iClass kartice, HID Seos kartice ili mobitele za prijavu ili odjavu. Osim toga, moguće je koristiti i Mifare kartice na ovim terminalima. Zanimljivo je istaknuti činjenicu da, bez obzira što u novčaniku imamo više različitih kartica (osobna iskaznica, bankovne kartice, vozačka dozvola i sl.), sustav će očitati samo jednu karticu (ne znamo koju). To znači da se može dogoditi i da se očita i, primjerice, osobna iskaznica i u tom slučaju će pisati na terminalu za evidenciju radnog vremena: „nepoznati korisnik“. To znači da korisnik (primjerice, zaposlenik u određenom poduzeću) mora izvaditi karticu iz novčanika i prisloniti na terminal kako bi bio siguran da je upravo ta kartica očitana. Moguće je i  isključiti čitanje Mifare/DESfire kartica na terminalu tako da se u tom slučaju ne bi čitale kartice koje rade na toj vrsti tehnologije.

HID mClass SE+BLE (LF+HF) ima podršku i za zastarjele tehnologije kartica tako da se na istom uređaju mogu koristiti i stare i nove tehnologije kartica. Međutim, vrlo je rizično ukoliko se stare tehnologije koriste u segmentu kontrole pristupa, jer (kao što smo ranije opisali) takve kartice se mogu vrlo lako kopirati.

HID iClass SE+BLE (HF) je terminal za radno vrijeme koji ima integriran i dio za čitanje otiska prsta tako da je moguće koristiti samo otisak prsta, samo karticu ili kombinaciju te dvije mogućnosti prijave/odjave na ovom terminalu.

Zaključak

Danas na tržištu postoje različite tehnologije kartica koje se u bitnom dijelu razlikuju po tehnologiji i razini sigurnosti. O svakom pojedincu ili poduzeću ovisi za koju tehnologiju će se odlučiti i do koje razine sigurnosti žele ići. U skladu s tim se razlikuje i cijena kartica i ostale opreme. Ipak, na kraju su najskuplje one kartice zbog kojih dođe do sigurnosnih proboja u poduzeću ili organizaciji jer je tada šteta često velika, a ugled je trajno narušen. Želite li savjet oko ovog pitanja i oko toga koje kartice odabrati? Javite nam se, proći ćemo kroz najvažnija pitanja i pomoći vam pri donošenju odluke.