web-dev-qa-db-fra.com

Existe-t-il des cartes d'identité non photographiables mais numérisables?

Nous avons un client qui organise un événement, avec un budget serré, qui utilise des cartes d'identité avec photo avec des codes à barres. Les codes-barres sont utilisés pour accéder à différentes zones de l'événement.

Nous pensions proposer un code haché (actuellement les identifiants sont séquentiels), mais il s'est alors avéré qu'il était assez facile de `` glisser '' une carte avec une photographie haute résolution, puis de superposer son code à barres existant avec une impression du balayage.

En gardant à l'esprit que nous utilisons des scanners ean13, et qu'il y a vraiment un budget serré (donc NFC est sorti pour le moment) - une superposition, comme du cellophane rouge, servirait-elle à n'importe quel but dans atténuer ce type d'attaque spécifique?

50
Konchog

Réponse simple: non

Si vous pouvez le voir, vous pouvez le photographier.

Il y a eu d'innombrables tentatives au fil des ans pour résoudre cette partie du DRM et toutes ont échoué.

Au lieu de vous concentrer sur le code-barres, avez-vous envisagé de compliquer la copie de la carte d'identité elle-même? Pour que la sécurité de chaque zone vérifie rapidement qu'il ne s'agit pas d'une superposition? Par exemple, un hologramme sur le code-barres que le scanner ignore mais qu'un humain peut vérifier, ou une carte en plastique de haute qualité avec le code-barres dans le revêtement coloré - un garde peut repérer une fausse superposition.

75
Rory Alsop

La réponse simple est oui. Malheureusement, je pense que vous pourriez avoir du mal à le faire avec un budget serré, les codes à barres peuvent être imprimés avec des encres qui ne sont visibles que sous la lumière UV/IR, donc ils ne sont pas visibles à l'œil nu et ne peuvent pas être reproduits sans équipement spécialisé et encres.

Malheureusement, les scanners qui peuvent lire ces codes ne sont pas bon marché et ni ink donc à moins que vous n'ayez plus de quelques milliers de participants, le NFC l'itinéraire va être moins cher. Et comme la question l'indique, ce n'est pas quelque chose que vous pensez qu'ils paieront, ce qui met probablement les solutions de codes-barres "imphotographable" hors de votre fourchette de prix.

53
motosubatsu

Alors qu'un simple cellophane rouge ne fait pas grand-chose pour masquer le code-barres, vous pouvez appliquer plusieurs couleurs pour masquer le code-barres de l'œil humain. Si le lecteur de codes-barres n'utilise qu'une seule longueur d'onde (comme le rouge), il verra les couleurs différemment d'un humain ou d'une caméra couleur.

Il serait plus difficile de photographier et d'imprimer avec succès, car les appareils photo et les imprimantes brouilleront les couleurs plus facilement qu'ils ne brouilleraient une image en noir et blanc. De plus, vous pouvez essayer de faire du premier plan et de l'arrière-plan une sorte de motif aléatoire, de sorte qu'il n'est pas évident que ce soit un code-barres.

Par exemple, vous remplacez le noir par le bleu et le vert et le blanc par le rouge et l'orange:

Obfuscated barcode

Pour un lecteur de codes-barres à lumière rouge, cela devrait apparaître comme un code-barres noir et blanc normal. Mais je pense qu'il serait plus difficile de copier avec succès.


Contexte théorique: L'œil humain est le plus sensible aux variations de luminosité et moins sensible aux variations de couleur. La plupart de nos équipements, tels que les appareils photo, les imprimantes et les formats d'image reflètent cela, et des méthodes telles que sous-échantillonnage chroma et filtre Bayer sont couramment utilisées. Mais un scanner à une seule longueur d'onde est complètement insensible aux variations de luminosité dans d'autres couleurs et très sensible aux variations de couleur qui affectent la quantité de rouge dans la couleur.

Ainsi, le motif doit être conçu de sorte qu'il présente de nombreuses variations de luminosité pour rendre la copie difficile, tout en conservant la luminosité perçue par le scanner. Une façon de procéder dans les éditeurs d'images consiste à séparer les canaux rouge/vert/bleu et à n'éditer que les canaux vert et bleu.

29
jpa

Dans ce cas, la solution la moins chère pour votre situation consiste à utiliser l'agent de sécurité humaine pour effectuer une vérification photo. Utilisez la balise de code-barres pour rechercher rapidement l'enregistrement de l'utilisateur dans la base de données des participants, la base de données doit stocker la photo du participant et le gardien doit vérifier que le participant qui s'est présenté correspond à la photo sur la base de données.

Dans ce cas, le code-barres ne doit pas vraiment être considéré comme faisant partie de la sécurité, c'est juste un moyen rapide de rechercher des enregistrements de base de données, donc peu importe s'il est copié. La vraie sécurité vient de la correspondance des photos. De toute évidence, dans ce cas, vous ne pouvez pas vraiment appliquer la sécurité sur les spots d'auto-analyse, ce qui est la principale faiblesse.

23
Lie Ryan

Vous ne pouvez pas, car tant qu'un humain et un lecteur de codes-barres doivent être capables de voir le tout, un appareil photo et un copieur le peuvent aussi.

Un code-barres n'est pas différent de l'impression d'une chaîne de texte, sauf qu'une machine peut le lire plus rapidement. En termes de sécurité, il n'ajoute aucune protection.

Ce problème ne fait peut-être pas partie du modèle de menace - l'avez-vous vérifié?

17
John Keates

NFC est-il vraiment trop cher? J'ai trouvé un pack de 50 autocollants MiFARE NFC pour 13,20 $, ce qui les rend <0,27 $ par participant; si vous prévoyez 500 participants, c'est 132 $, ce qui n'est vraiment pas beaucoup dans le schéma d'un événement pris en charge de cette ampleur. Si vous parvenez à balancer 0,89 $ par participant, vous pouvez réellement obtenir des cartes MiFARE imprimables à jet d'encre, économisant l'étape d'impression et appliquant séparément un autocollant (bien que vous deviez avoir une imprimante à chemin de papier plat que les cartes pourraient être traversé).

Étant donné que NFC ne peut pas être photographié, il ne peut pas être facilement dupliqué, mais les balises sont facilement lues par n'importe quel smartphone et une variété d'autres appareils, et sont souvent moins difficiles. Par exemple, si le badge est dans un support en plastique, un lecteur de code-barres pourrait capter trop de lumière ambiante réfléchie pour pouvoir lire le code-barres, et la personne devrait l'incliner de cette façon et cela (en s'arrêtant un peu à chaque fois pour donnez au scanner le temps de se concentrer), en espérant réduire suffisamment l'éblouissement pour que le scanner puisse lire le code; avec NFC, il suffit d'appuyer la carte contre le lecteur et peut-être de la remuer un peu jusqu'à ce que vous atteigniez le point idéal. Au 10e ou 15e scan, le responsable de la sécurité devrait avoir une assez bonne idée de l'endroit où se trouve le point idéal et être capable de scanner presque instantanément à partir de là.

EDIT1: Même les balises NFC non cryptographiques basiques et bon marché programmées avec des numéros d'identification simples sont plus difficiles à reproduire - vous devez avoir un accès proche à une balise (généralement moins d'un pied). Cela les rend beaucoup plus difficiles à cloner qu'un code à barres qui peut être capturé par un appareil photo décent à plusieurs mètres de distance ou à travers la pièce ou plus loin avec un bon reflex numérique et un zoom. La plage de lecture optimale sur les puces NFC est basée sur le rayon de l'antenne cadre de la puce: le rayon divisé par ~ 1,414. Sur une carte 2 "x3,5" NFC le rayon ne peut pas dépasser 1 pouce (2,54 cm) car l'antenne de la boucle ne peut pas avoir plus de 2 pouces de diamètre, ce qui nous donne un "optimum "portée de lecture d'un peu moins de 2 cm (moins d'un pouce). Même avec un lecteur puissant, je doute sérieusement que vous puissiez lire les étiquettes à des distances supérieures à un pied.

EDIT2: Comme @Falco l'a souligné dans les commentaires ci-dessous, si vous imprimez également un code-barres sur le badge, un ne'er-do-well potentiel pourrait même pas réaliser qu'il y a une balise NFC et essayer de simplement cloner le code-barres ... mais bien sûr, leur badge contrefait ne numériserait pas avec NFC, l'exposant comme un faux.

15
Doktor J

Je ne sais pas comment vous prévoyez de transporter les cartes d'identité, qu'elles soient suspendues directement à la longe avec un simple trou perforé à travers la carte ou si dans un support ou un portefeuille en plastique accroché à la longe.

Si vous utilisez le style de porte-monnaie transparent, vous pourriez avoir quelque chose d'imprimé ou un autocollant appliqué à l'extérieur qui couvre la zone du code-barres mais laissant la photo et d'autres informations d'identification visibles aux lecteurs humains, assurez-vous que cela se trouve des deux côtés s'il y a dans le cas où la carte est placée dans le transporteur inversé. Cela signifierait qu'une photo de quelqu'un en voiture ne révélerait pas du tout le code-barres. Cependant, la carte devra être retirée ou déplacée à l'intérieur du support pour scanner le code-barres.

Si vous utilisez un support en plastique plus solide, imprimez le code-barres au verso de la carte en vous assurant qu'il ne soit pas visible à l'intérieur du support.

11
GeeTee

Une chose que vous pourriez faire qui a été un aliment de base de l'anti-contrefaçon depuis des millénaires est d'introduire une faille délibérée dans votre code-barres qui le fait lire, par exemple, les deux derniers caractères "incorrectement". Faites-la ressembler à une erreur d'impression accidentelle de la carte.

Vous demandez ensuite à votre scanner/logiciel d'ignorer l'erreur et de vous transmettre les données de toute façon, en laissant de côté les bits non valides.

Quelqu'un qui falsifie des cartes supposera probablement que sa photographie était imparfaite ou qu'il a obtenu une carte tachée et corrigera manuellement "l'erreur".

Votre logiciel peut alors remarquer qu'il reçoit le code "cette carte est une contrefaçon" et une alerte de sécurité.

Ce n'est pas le meilleur mécanisme de sécurité car il dépend d'un attaquant à la fois ne sachant pas ce que vous faites et pas simplement copiant aveuglément la carte sans vérifier qu'elle s'est imprimée correctement.

Associez-le à une sorte de filigrane. Soit un filigrane littéral si vous utilisez une carte papier, soit dites tamponner toutes les cartes avec un code supplémentaire qui n'apparaît que sous la lumière UV.

Si vous tamponnez sur un code QR, la construction d'un scanner composé d'une boîte avec une fente à l'avant contenant une caméra et une lampe UV serait le travail d'un après-midi. Connectez-le au programme de lecture QR de votre choix. Tant que vous parvenez à garder secrète la présence du filigrane, il devrait être presque impossible pour quiconque de forger une carte.

5
Perkins

Oui, il existe un moyen de le faire *

Utilisez des matériaux fluorescents pour le code à barres lui-même, de sorte que la duplication ne peut pas être effectuée par photographie sans ruiner "l'invisibilité" du duplicata, qui distingue les contrefaçons. Les cartes d'identité modernes utilisent cela.

* Cela ne fonctionne que pour les cartes en polycarbonate, pas en PVC. Malheureusement, cela peut ne pas correspondre au budget de votre client.

5
Expectator

Je sais que je suis en retard au jeu, mais voici deux suggestions de ma part:

1) Rendez le code-barres très petit, juste assez grand pour être récupéré par le scanner de codes-barres. Il est donc difficile (mais pas impossible) de prendre des copies utilisables avec un appareil photo sans qu'il soit évident que vous essayez de le faire.

2) Divisez le code-barres en deux paires (par exemple, toutes les autres barres) et imprimez une moitié sur la carte d'identité et une autre sur une superposition transparente - vous devrez ensuite aligner manuellement les deux moitiés pour créer un code-barres utile . Cela le rend plus fastidieux à utiliser, mais il est peu probable que les pièces s'alignent en se balançant sur la longe (surtout si vous faites la partie transparente avec un équilibre différent).

Vous pouvez bien sûr combiner les deux approches.

4
KlaymenDK

Que diriez-vous si la première fois qu'ils sont scannés à la porte par un humain, le responsable de la sécurité (c'est-à-dire le scanner) vérifie la photo pour s'assurer qu'elle correspond à la personne avec le badge. Si cela correspond, le responsable de la sécurité met l'un de ces bracelets tyvek bon marché d'une couleur spécifique. Ceux-ci sont souvent utilisés dans les parcs d'attractions, les jeux de ballon, etc. pour indiquer des niveaux d'accès spécifiques, des qualifications d'âge, etc. Cela empêcherait au moins des personnes non autorisées de pénétrer dans votre site en premier lieu.

Ces bracelets sont à usage unique et sont très difficiles à enlever et à mettre sur quelqu'un d'autre sans remarquer qu'ils ont été retirés. Si vous gardez secrète la "couleur du bracelet du jour", ou si vous en faites spécialement avec une ou des couleurs spécifiques, alors ils devraient être assez à l'abri de la copie. Je pense également que ceux-ci sont généralement plutôt bon marché en vrac.

Bien qu'en général, si la sécurité est d'une importance cruciale lors de cet événement, alors la sécurité aurait dû être allouée suffisamment de fonds à l'avance pour soutenir son importance et sa valeur.

4
Milwrdfan

Bien que ce ne soit pas une solution complète au problème, vous pouvez rendre la vie un peu plus difficile en incluant EURion Constellation sur vos cartes. Cela peut être utilisé conjointement avec d'autres approches.

La constellation EURion est un motif de symboles incorporé dans un certain nombre de modèles de billets de banque à travers le monde depuis environ 1996. ... . La simple présence de cinq de ces cercles sur une page suffit pour que certains photocopieurs couleur refusent le traitement.

3
Tyzoid

Bien qu'il puisse être simple de prendre une photo d'un côté, il est beaucoup plus difficile de capturer les deux côtés lors d'une attaque décontractée. Vous pouvez faire différentes choses pour vous appuyer sur cette idée, selon l'événement.

  • Codes à barres uniques de chaque côté, le participant place la carte entre deux lecteurs
  • Code-barres d'un côté, informations vérifiables par l'homme de l'autre. Comparé manuellement au compte.

Ou vous pouvez ajouter un deuxième facteur. Envoyez au participant un enregistrement SMS lors de sa première numérisation, qui capture sa balise avec le wifi local, puis vous pouvez effectuer des vérifications d'approximation chaque fois qu'il numérise à l'avenir. Si son téléphone n'est pas où il devrait être, bloquer l'accès et envoyer un autre lien SMS. Vous pouvez avoir deux facteurs tout le temps, mais vous voudrez probablement qu'une application fournisse une notification plus rapide.


Ou vous pouvez simplement masquer complètement le code-barres. Votre idée était la cellophane rouge ... Pourquoi pas juste une couverture occultante? Cela pourrait être aussi sale qu'un postit ou une bande à haute adhérence, ou aussi joli qu'une pochette qui ne fait qu'obscurcir le code-barres.

3
Oli

Solution simple: imprimez le code-barres sur la longe et non sur le badge.

Tout le monde peut imprimer une photo-ID en papier avec un code-barres. Il est assez compliqué d'imprimer un code-barres sur une longe avec votre équipement d'impression domestique.

Si votre PhotoID ressemble à ceci:

Hard plastic PhotoID

Il est très difficile pour un gardien de dire si ce code à barres est la vraie affaire ou juste une version imprimée et collée du code à barres. Si votre événement est suivi par plus de 300 personnes, il devient très fastidieux de vérifier ces choses. Plus le code-barres est grand, mieux c'est. Si vous prévoyez d'utiliser PhotoID en papier, il devient impossible de savoir si une impression est réelle ou fausse.
Si le code-barres est sur la longe, il est extrêmement facile pour les gardes de dire si c'est faux ou réel. Mais gardez à l'esprit qu'il ne s'agit en aucun cas d'une méthode de sécurité intégrée. C'est vraiment un contrôle "nous n'avons plus d'argent" et non quelque chose sur lequel vous devriez compter.

3
Tom K.

Comme indiqué dans d'autres commentaires, il n'est pas clair quelles sont les menaces auxquelles vous êtes confronté. Si vous êtes uniquement préoccupé par les personnes photographiant l'identification, faites simplement quelque chose pour que l'état physique naturel du laissez-passer masque le code-barres. Par exemple, vous pouvez distribuer les passes pliées en deux (la lanière peut aider à la garder en deux) et le code à barres peut être à l'intérieur. Lorsque les gens vont les scanner, vous pouvez demander à la sécurité de `` déplier '' le laissez-passer pour révéler le code-barres. Ou vous pouvez demander aux gens de porter des pièces d'identité, mais d'avoir une carte à code-barres dans leur poche pour l'entrée.

2
BobtheMagicMoose

Théoriquement, vous pouvez imprimer dans quelque chose de polarisé. Ensuite, regardez-le avec de la lumière polarisée ou à travers un filtre polarisé. Pas nécessairement bon marché.

Vraisemblablement, vous pouvez choisir une polarisation linéaire ou circulaire afin d'éviter tout filtre qui pourrait généralement être dans une caméra commune.

2
Smegger

À strictement parler, il n'y en a pas. Si le scanner peut le lire, il peut être enregistré et reproduit. Mais cela ne raconte pas toute l'histoire.

Bien que les appareils photo et les écrans/imprimantes soient de nos jours assez universels, ils ne peuvent pas capturer et reproduire chaque couleur. Il y a en fait des couleurs que l'œil humain peut voir, mais qui sont difficiles à capturer sur l'appareil photo, à afficher à l'écran ou à imprimer sur papier:

Quelques exemples simples incluent les couleurs fluorescentes, la fluorescence réelle déclenchée par une certaine couleur de lumière émise par le scanner (par exemple, les plantes vertes brillent en orange sous la lumière UV), les couleurs non visibles comme les UV ou l'infrarouge. Vous pouvez également aller dans le sens inverse et inclure des fonctionnalités qui sont visibles normalement mais invisibles pour votre scanner, par exemple peut-être qu'une partie du code-barres est prise en sandwich entre des feuilles de papier et qui ne devient correctement transparente que sous votre scanner. De nombreux billets de banque intègrent une telle mesure de sécurité basée sur la transparence, des colorants et du papier spéciaux, des éléments incandescents/hologrammes, etc.

Cela ne signifie pas que votre carte est impossible à photographier, car votre scanner peut évidemment la détecter - un adversaire pourrait construire un appareil similaire et enregistrer votre carte. Mais cela signifie que les caméras grand public facilement disponibles ne seront pas en mesure de le faire, de sorte que l'adversaire devra obtenir un équipement spécialisé (qui peut même ne pas être légal à l'achat) ou même construire son propre appareil. De même, la reproduction sera également un défi. Si vous utilisez une couleur en dehors de l'espace CMJN, ils ne peuvent pas l'imprimer, et si en dehors de RVB, l'écran de leur téléphone ne l'affichera pas. Encore une fois, ils peuvent obtenir ou créer des écrans/documents spécialisés qui peuvent le faire (après tout, celui qui a créé vos cartes d'identité légitimes a pu le faire) mais ce sera plus difficile. Sans oublier qu'il sera plus facile pour les forces de l'ordre de les trouver, car peu de gens auraient un tel équipement spécialisé sans raison valable.

La solution idéale ici est simplement d'utiliser des puces RFID avec cryptage. Peu de gens ont les compétences techniques pour les reproduire, et même s'ils le font, ils ne pourront pas facilement trouver la clé de cryptage dans la puce. En tant qu'option moins coûteuse, les cartes magnétiques devraient être moins chères, celles-ci peuvent être facilement clonées mais elles nécessitent un équipement. La solution de contrôle d'accès physique testée dans le temps est bien sûr une clé simple (pas aussi simple à copier). Ou vous pouvez simplement tout oublier et utiliser des mots de passe mémorisés.

Si vous devez vraiment utiliser les scanners, je regarderais soit à l'encre fluorescente, soit j'imprimerais sur du matériel qui ne semble pas correct, sauf pour une longueur d'onde spécifique (que le scanner fournirait probablement. Mais il est difficile d'être plus précis sans savoir quel est votre scanner.

2
Artimithe55

Si vous pouvez vous assurer que tous les codes-barres sont imprimés exactement au même endroit, vous pouvez modifier la fente du lecteur de codes-barres pour positionner l'ID exactement avec quelque chose couvrant les bordures. Donc, si quelqu'un essaie d'imprimer une photo mais qu'elle est légèrement décentrée, le code-barres ne sera pas lu.

Cependant, je dirais que la réception n'a pas une telle chose, et seulement ceux avec des données sensibles. De cette façon, un "tricheur" se met à penser que cela a fonctionné, puis il est coincé à l'intérieur lorsqu'il essaie de traverser des zones restreintes. Selon la personne, il serait risqué de sortir et d'essayer de le réparer et de révéler son intention. S'il est bloqué avant d'entrer dans la "zone commune", ils pourraient avoir une chance de résoudre ce problème et d'essayer à nouveau avec une autre personne.

1
Moacir

Je pense que vous êtes trop concentré sur la copie du code-barres. La façon correcte de le faire est de délivrer une pièce d'identité unique à chaque visiteur et de garder une trace de cette pièce d'identité, de l'enregistrer dans (et éventuellement hors) des différents sites. Si une pièce d'identité se trouve déjà à l'intérieur d'un lieu, l'entrée serait interdite. Il est toujours possible qu'un visiteur entre avec un code à barres copié avant le propriétaire de l'ID légitime. Mais dans un tel cas, le propriétaire légitime pourrait prouver qu'il est le propriétaire légitime de la pièce d'identité au moyen d'un certain type de reçu. Vous pouvez ensuite invalider cette ID dans l'ordinateur, bloquant ainsi le formulaire ID copié pour les présences supplémentaires.
Mais cela vaut-il la peine? Quel mal est fait par quelques visiteurs injustes? La meilleure mesure de sécurité pourrait être simplement de dire aux gens qu'il existe une mesure de sécurité pour prévenir la fraude. "Veuillez noter que nous garderons une trace des pièces d'identité émises et si nous constatons que quelqu'un a obtenu une entrée injuste, nous demanderons à nos gardes de sécurité de prendre soin de lui jusqu'à ce que la police arrive" ou similaire pourrait bien le faire. .. :-)

0
Roland Giersig

Si la protection des points d'accès surveillés par les gardes est suffisante, que diriez-vous d'une authentification à deux facteurs bon marché? En plus de la carte d'identité, distribuez un jeton en plastique, une puce de casino, un canard en caoutchouc ou un autre bijou qui ne peut pas être obtenu rapidement par des prétendants gratteurs.

Il devrait avoir un trou ou un autre moyen de se fixer à la longe, sinon vous aurez des gens qui la perdront ou la "perdront" à droite et à gauche.

0
alexis

En fait, ce n'est pas si facile de photographier sans au moins que le porteur le remarque si le code-barres est suffisamment petit (pensez à la hauteur du lettrage 8pt ou 6pt ...)

Supposons que nous parlons ici d'appareils photo pour téléphones portables, pas de téléphones haut de gamme (double objectif), de téléconvertisseurs à clips, d'appareils photo de niveau professionnel/amateur, de zooms optiques, de traitement RAW ou de trépieds. Quelqu'un qui se donne la peine de payer peut probablement se permettre de payer vos billets.

Supposons un appareil photo de téléphone 12MP, ce qui donne une résolution effective de 2000 pixels sur le côté le plus long de la photo. Pas 4000, il y aura soit un aliasing soit un antialising sur votre chemin une fois que vous essayez de reproduire fidèlement des structures de moins de 2 pixels.

Dans de nombreux cas, vous pouvez à nouveau réduire de moitié la résolution effective disponible pour une reproduction exacte car l'image est automatiquement post-traitée par le micrologiciel du téléphone pour corriger les défauts d'objectif, en particulier dans les parties décentrées de l'image. Les pixels se heurtent à leur raster pour ce faire ....

Supposons un objectif de caméra de téléphone standard, qui sera un grand angle équivalent 24 mm ou 28 mm sans zoom optique, donc l'augmentation du grossissement ne vous donnera pas une résolution supplémentaire.

Si votre code à barres avait besoin d'une résolution de 100 pixels pour fonctionner, cela signifierait que quelqu'un devrait le photographier de manière à ce qu'il remplisse 1/20e du cadre, et devrait le faire sans introduire de distorsion de perspective, de tremblement, d'autres erreurs .. .

Un petit code à barres de 1 cm de long ne ferait que remplir 1/100e de la largeur du cadre cassé avec un objectif équivalent de 28 mm à une distance de 1 mètre ... ou 1/50e si quelqu'un s'approchait de quelqu'un à un demi-mètre de distance, probablement en se faisant dire off pour empiéter.

0
rackandboneman