A beléptető kártyák másolása az egyik leggyakoribb kérdés, amely a gyakorlatban felmerül. Sokan úgy gondolják, hogy ez egy egyszerű „igen vagy nem” kérdés, a valóság azonban ennél jóval összetettebb.
A rövid válasz: nem minden beléptető kártya másolható ugyanúgy, és sok esetben nem önmagában a kártya a döntő tényező, hanem az olvasó, illetve a mögötte lévő vezérlő- és jogosultsági rendszer. A kártya típusa, az olvasó működése és a vezérlőoldali logika együttesen határozza meg a végeredményt.
Mit jelent valójában a „másolás”?
A legtöbb hagyományos beléptető rendszer működése leegyszerűsítve a következő:
- az olvasó adatot olvas ki a kártyáról,
- ezt az adatot továbbítja a vezérlőnek,
- a döntés a vezérlőoldalon születik meg, hogy a bemutatott kártya jogosult-e a belépésre.
Amikor „másolásról” beszélünk, a legtöbbször azt értik alatta, hogy egy másik kártya ugyanazt az adatot szolgáltatja az olvasó felé, mint az eredeti.
Fontos pontosítás: ez nem mindig kizárólag egy egyszerű azonosítót (UID) jelent, hanem adott esetben:
- meghatározott bitstruktúrát,
- formátumot (pl. facility code + kártyaszám),
- ellenőrző biteket,
- vagy akár egy teljes kommunikációs viselkedést.
Hogy pontosan mit jelent a „másolat”, azt mindig az adott rendszer határozza meg.
125 kHz-es beléptető kártyák
A klasszikus, alacsony frekvenciás (125 kHz-es) proximity kártyák többségére jellemző, hogy:
- nem tartalmaznak újraírható memóriát,
- nem végeznek kriptográfiai műveleteket,
- a kártyában lévő adat gyárilag rögzített.
Ezek a kártyák nem csak egy „szimpla számot” tartalmaznak.
Tipikusan az alábbi elemekből áll az általuk továbbított adat:
- egy egyedi azonosító,
- gyártó- és formátumfüggő kódolás,
- paritás- és ellenőrző bitek,
- esetenként gyártóspecifikus struktúra.
Bár ezek a kártyák nem kriptográfiailag védettek, a különböző gyártók (pl. HID, Indala) eltérő kódolási és formátum-megoldásokat használnak, ami azt jelenti, hogy nem minden 125 kHz-es kártya kezelhető azonos módon minden olvasóval.
Miért rendszerfüggő a másolhatóság?
Ugyanaz a kártya:
- az egyik beléptetési ponton működik,
- a másikon nem,
- vagy csak bizonyos olvasókkal kompatibilis.
Ennek oka nem az, hogy a kártya „más adatot adna”, hanem az, hogy:
- az olvasó milyen formátumban olvassa és továbbítja az adatot,
- mely biteket veszi figyelembe,
- milyen formátumot vár a vezérlőoldali logika,
- történik-e további ellenőrzés (pl. hossz, paritás, tartomány).
Ezért fordulhat elő gyakran a gyakorlatban:
„Az egyik kapun működik, a másikon nem.”
Mi a helyzet a 13,56 MHz-es RFID-alapú (pl. MIFARE Classic S50) kártyákkal?
A magasabb frekvenciájú, 13,56 MHz-es RFID-alapú beléptető kártyák már:
- szektorokra osztott memóriával rendelkeznek,
- kulcsalapú hozzáférés-védelemmel működnek,
- olvasónként és rendszerenként eltérően konfigurálhatók.
Ezeknél a kártyáknál a „másolhatóság” már nem automatikus, hanem függ:
- a használt kulcsoktól,
- az olvasó beállításaitól,
- attól, hogy a rendszer az UID-t, adatblokkokat vagy teljes hitelesítést használ.
Fontos! A MIFARE Classic (S50) kártyák kriptográfiája ma már ismert és támadható, ezért nem számítanak magas biztonságú megoldásnak, ugyanakkor jelentősen összetettebbek, mint az egyszerű 125 kHz-es proximity kártyák, és nem kezelhetők ugyanazzal az egyszerűséggel.
Soha ne feledd:
- A beléptető kártya önmagában nem biztonsági elem.
- A védelem mindig a teljes rendszer szintjén értelmezhető.
- A „másolható / nem másolható” kérdés önmagában félrevezető.
A helyes kérdés inkább ez:
„Ez a kártya ebben a konkrét rendszerben milyen adatot szolgáltat, és azt hogyan dolgozza fel a rendszer?”
Gyakori tévhitek a beléptető kártyák másolásáról
❌ „Ha 125 kHz-es, akkor biztosan könnyen másolható”
Tévedés. Bár a 125 kHz-es kártyák nem használnak kriptográfiát, a gyártói formátum, az adatstruktúra és az olvasó beállítása meghatározza, hogy egy adott rendszer elfogad-e egy másolt kártyát. Előfordulhat, hogy egy kártya technikailag klónozható, mégsem működik minden olvasón.
❌ „A kártya mást küld az egyik olvasónak, mint a másiknak”
Nem így van. A kártyán tárolt adat nem változik. A különbség abból adódik, hogy az egyes olvasók eltérő módon értelmezik, dekódolják vagy továbbítják ugyanazt az adatot a vezérlő felé.
❌ „Ha az egyik kapun működik, akkor mindenhol működnie kell”
Ez gyakori félreértés. Egy rendszeren belül is lehetnek:
- különböző olvasótípusok,
- eltérő formátumbeállítások,
- más jogosultsági logika.
Ezért előfordulhat, hogy egy kártya csak bizonyos beléptetési pontokon használható.
❌ „A MIFARE S50 feltörhetetlen, ezért biztonságos”
Tévedés. A MIFARE Classic (S50) kriptográfiája ma már ismert és támadható.
Ez nem jelenti azt, hogy használhatatlan, de nem tekinthető magas biztonságú megoldásnak, különösen modern elvárások mellett.
❌ „Az NFC (pl. NTAG) automatikusan jobb beléptetésre”
Nem feltétlenül. Az NFC-címkék elsősorban adatátvitelre és azonosításra készültek, nem klasszikus beléptető rendszerekhez.
Megfelelő rendszerlogika nélkül nem nyújtanak valódi hozzáadott biztonságot egy RFID-kártyához képest.
❌ „Ha a kártya nem másolható, akkor a rendszer biztonságos”
Ez veszélyes leegyszerűsítés. A biztonságot nem egyetlen elem adja, hanem:
- az olvasó típusa,
- a vezérlőoldali döntési logika,
- az eseménynaplózás,
- és a jogosultságkezelés együttese.
❌ „A beléptető kártya maga a védelem”
Nem. A kártya csak egy azonosítási eszköz. A valódi védelem mindig a teljes rendszerben értelmezhető.
Kapcsolódó eszközök
