web-dev-qa-db-ja.com

撮影できないがスキャン可能なIDカードはありますか?

限られた予算で、バーコードが付いたストラップ付き写真付きIDカードを使用してイベントを主催するクライアントがいます。バーコードは、イベントでさまざまなエリアにアクセスするために使用されます。

私たちはハッシュコード(現在のIDはシーケンシャルです)を提案することを考えていましたが、高解像度の写真でカードを「スワイプ」し、既存のバーコードをスワイプのプリントアウトでオーバーレイするのは非常に簡単です。

私たちはean13スキャナーを使用していて、本当に予算が限られていることを念頭に置いてください(NFCは今のところ出ていません)-赤いセロファンなどのオーバーレイは、この特定の種類の攻撃を緩和しますか?

50
Konchog

簡単な答え:いいえ

見えれば撮れます。

DRMのこの部分を解決するために長年にわたって無数の試みがあり、すべてが失敗しました。

バーコードに焦点を当てる代わりに、IDカード自体をコピーすることを困難にすることを考えましたか?各エリアのセキュリティは、それがオーバーレイではないことをすばやく確認できますか?たとえば、スキャナーが無視するが人間がチェックできるバーコード上のホログラムや、バーコードがカラーコーティングされている高品質のプラスチックカード-ガードが偽のオーバーレイを見つけることができます。

75
Rory Alsop

簡単な答えはイエスです。残念ながら、予算が限られているため、そうするのに苦労していると思います。バーコードは、UV/IRライトの下でのみ表示されるインクを使用して印刷できるため、肉眼では見えず、特殊な機器なしでは複製できません。とインク。

残念ながら、これらのコードを読み取ることができるスキャナーは 安くない であり、- ink でもないため、数千人以上の参加者がいる場合を除き、NFCルートは安くなるでしょう。そして質問が示すように、これはあなたが彼らが払うと思うものではないので、おそらく「撮影できない」バーコードソリューションをあなたの価格帯から外します。

53
motosubatsu

単純な赤いセロファンはバーコードを隠すのにほとんど効果がありませんが、複数の色を適用して人間の目からバーコードを隠すことができます。バーコードスキャナーが単一の波長(赤など)のみを使用する場合、人間やカラーカメラとは異なる色が表示されます。

カメラとプリンターは白黒画像をぼかすよりも簡単に色をぼかすので、これをうまく写真に撮って印刷するのはより困難です。さらに、前景と背景をある種のランダムパターンにして、それがバーコードであることを明確にしないようにすることもできます。

たとえば、黒を青と緑に、白を赤とオレンジに置き換えます。

Obfuscated barcode

赤信号のバーコードスキャナーでは、これは通常の白黒バーコードのように見えます。しかし、うまくコピーするのはもっと難しいだろうと思います。


理論的背景:人間の目は明るさの変化に最も敏感で、色の変化にはあまり敏感ではありません。カメラ、プリンター、画像形式などのほとんどの機器はこれを反映しており、 クロマサブサンプリングベイヤーフィルター などの方法が一般的に使用されています。ただし、単一波長のスキャナーは、他の色の明るさの変化に完全に反応せず、色の赤の量に影響を与える色の変化に非常に敏感です。

したがって、パターンは、スキャナーで同じ明るさを保ちながら、コピーを困難にするために、多くの明るさのバリエーションを持つように設計する必要があります。画像エディターでこれを行う1つの方法は、赤/緑/青のチャネルを分離し、緑と青のチャネルのみを編集することです。

29
jpa

この場合の最も安価な解決策は、人間の警備員を利用して写真チェックを行うことです。バーコードタグを使用して、参加者データベースからユーザーのレコードをすばやく検索します。データベースには参加者の写真が保存され、ガードは自分自身を提示した参加者がデータベースの写真と一致することを確認する必要があります。

この場合のバーコードは、実際にはセキュリティの一部と見なすべきではありません。これは、データベースレコードを検索するための迅速な方法に過ぎないため、コピーされても問題ありません。本当のセキュリティは写真のマッチングから来ています。この場合、明らかに、主な弱点であるセルフスキャンスポットにセキュリティを強制することはできません。

23
Lie Ryan

人間とバーコードの両方のスキャナーがすべてを見ることができる必要がある限り、カメラとコピー機もそうすることができるので、それはできません。

バーコードは、機械がそれをより速く読み取ることができることを除いて、テキストの文字列を印刷することと同じです。セキュリティに関しては、保護はありません。

この問題は脅威モデルの一部ではない可能性があります—確認しましたか?

17
John Keates

NFCは本当に高すぎるのですか? $ 13.20で50パックのMiFARE NFCステッカーを見つけ、参加者1人あたり$ 0.27未満にしました。 500人の出席者を計画している場合、それは$ 132であり、その規模のケータリングイベントのスキームではそれほど多くありません。出席者1人あたり0.89ドルを振ることができれば、実際にインクジェット印刷可能なMiFAREカードを入手でき、印刷とステッカーの貼り付けのステップを節約できます(ただし、カードが使用できるフラット紙パスプリンターが必要です)フィード)。

NFCは写真を撮ることができないため、簡単に複製することはできませんが、タグはスマートフォンや他のさまざまなデバイスで簡単に読み取ることができ、たいていはそれほど扱いにくいものではありません。たとえば、バッジがプラスチックホルダーにある場合、バーコードスキャナーはバーコードを読み取ることができないほど反射した周囲光を拾い、人はそれをこのように傾ける必要があります(毎回少しずつ一時停止してスキャナーがコードを読み取るのに十分なグレアを減らすことを期待して、スキャナーに焦点を合わせる時間を与えます。 NFCでは、カードをリーダーに押し付けるだけで、スイートスポットに当たるまで少しぐらい回ります。 10回目または15回目のスキャンまでに、セキュリティ担当者はスイートスポットがどこにあるのかをかなり手掛かりにして、そこからほぼ瞬時にスキャンできるはずです。

EDIT1:基本的な、安価な非暗号化NFCタグでさえ、単純なID番号でプログラムされている場合、複製するのはより困難です。タグに近接アクセスできる必要があります(通常は1フィート未満)。これにより、数フィート離れた部屋から、または部屋の向こう側、またはさらに優れたデジタル一眼レフとズームレンズを使用して、まともなカメラでキャプチャできるバーコードよりも、クローンを作成することが非常に難しくなります。 NFCチップの最適な読み取り範囲は、チップのループアンテナ半径に基づいています。半径は、約1.414で除算されます。 2 "x3.5" NFCカードでは、ループのアンテナは直径2インチを超えることができないため、半径は1インチ(2.54cm)を超えることはできません。 "読み取り範囲が2cm未満(1インチ未満)。強力なリーダーを使用していても、1フィート以上離れた場所でタグを読み取ることができるかどうか、私は真剣に疑っています。

EDIT2:@Falcoが以下のコメントで指摘しているように、バッジにもバーコードを印刷すると、潜在的な不備がNFCタグの存在に気付かず、クローンを作成しようとするだけかもしれませんバーコード...しかしもちろん、偽造のバッジはNFCでスキャンされず、偽物として公開されません。

15
Doktor J

ストラップに直接穴を開けてストラップから吊るすか、キャリアやプラスチック製の財布にストラップから吊るすかなど、IDカードの持ち方がわからない。

クリアウォレットスタイルのキャリアを使用する場合、バーコードの領域をカバーする外側に何かを印刷したり、ステッカーを貼ったりすることができますが、写真やその他の識別情報は人間の読者に表示されたまま、これが両面にあることを確認してください場合は、カードがキャリアの裏返しに配置されている場合。これは、誰かの「ドライブバイ」写真がバーコードをまったく明らかにしないことを意味します。ただし、バーコードをスキャンするには、カードを取り外すか、キャリア内でカードを移動する必要があります。

より多くのプラスチックキャリアを使用している場合は、カードの裏面にバーコードを印刷して、キャリア内で見えないようにします。

11
GeeTee

あなたができることの1つは、ミレニアの偽造防止の定番でしたが、バーコードに故意の欠陥を導入して、たとえば最後の2文字を「誤って」読み取ることです。カードの誤った誤植のように見せます。

次に、エラーを無視してデータを渡すようにスキャナー/ソフトウェアに指示し、無効なビットを除外します。

カードを偽造している誰かは、おそらく彼らの写真が不完全であるか、または彼らが汚されたカードを手に入れ、手動で「エラー」を訂正したと想定するでしょう。

ソフトウェアは、「このカードは偽造です」コードが送信されていることを認識し、セキュリティを警告できます。

これは、攻撃者が何をしているのかを知らないことと、正しく印刷されたことを確認せずにカードを盲目的にコピーすることの両方に依存するため、最良のセキュリティメカニズムではありません。

これと何らかの透かしを組み合わせる。紙のカードを使用している場合は文字通りの透かしか、UV光の下でのみ表示される追加のコードですべてのカードにスタンプを押すと言います。

QRコードにスタンプを押すと、カメラとUVランプを含む、正面にスロットのあるボックスで構成されるスキャナーを構築することは、午後の作業になります。それをお好みのQRリーダープログラムにパイプします。透かしの存在を秘密にしておけば、カードを偽造することはほぼ不可能です。

5
Perkins

はい、それを行う方法があります*

バーコード自体には蛍光物質を使用し、偽物の見分けがつく複製の「不可視性」を損なうことなく写真で複製を行わないようにします。最近のIDカードはこれを使用します。

*これはPVCではなく、ポリカーボネートカードでのみ機能します。残念ながら、これはクライアントの予算に合わない場合があります。

5
Expectator

私はゲームに遅れていることを知っていますが、ここに私から2つの提案があります。

1)バーコードを本当に小さくします。バーコードスキャナーで読み取れるだけの大きさです。このため、カメラで使用可能なコピーを作成しようとしていることを明確にしないと、コピーを作成することが困難になります(不可能ではありません)。

2)バーコードを2つのペアに分割し(たとえば、1つおきのバーのみ)、IDカードに半分を印刷し、半分を透明なオーバーレイに印刷します-便利なバーコードを作成するには、2つの半分を手動で位置合わせする必要があります。これにより、実際に使用するのは面倒になりますが、ストラップにぶら下がっているときにパーツが整列する可能性が低くなります(特に、バランスが異なる透明パーツを作成する場合)。

もちろん、2つのアプローチを組み合わせることができます。

4
KlaymenDK

ドアで人間が初めてスキャンしたときに、セキュリティ担当者(スキャナーなど)が写真をチェックして、バッジのある人物と写真が一致することを確認します。一致する場合、セキュリティ担当者は、特定の色の安価なタイベックリストバンドの1つを着用します。これらは、遊園地や球技場などで、特定のアクセスレベル、年齢の資格などを示すためによく使用されます。これにより、許可されていない人が最初に会場に入るのを防ぐことができます。

これらのリストバンドは1回限りの使用であり、取り外されたことに気付かずに外して他の人に装着することは非常に困難です。 「その日のリストバンドの色」を秘密にしておいたり、特定の色で特別に作られたものを入手したりする場合は、コピーからかなり安全なはずです。私はまた、これらは通常、かなり安価であると考えています。

一般的に、このイベントでセキュリティが非常に重要である場合、セキュリティには、その重要性と価値をサポートするのに十分な資金が事前に割り当てられているはずです。

4
Milwrdfan

この問題の完全な解決策ではありませんが、カードに EURion Constellation を含めることで、生活を少し難しくすることができます。これは、他のアプローチと組み合わせて使用​​できます。

EURionの星座は、1996年頃から世界中の多くの紙幣デザインに組み込まれたシンボルのパターンです。..[それ]は、5つの小さな黄色、緑、またはオレンジの円のパターンで構成され、異なる方向で紙幣の領域全体に繰り返されます。一部のカラー写真複写機が処理を拒否するには、ページにこれらの円が5つあるだけで十分です。

3
Tyzoid

片側の写真を撮るのは簡単かもしれませんが、カジュアルな攻撃で両側をキャプチャするのははるかに困難です。イベントに応じて、そのアイデアに基づいてさまざまなことを行うことができます。

  • 両側に固有のバーコード、出席者は2人のリーダーの間にカードを置きます
  • 一方にはバーコード、もう一方には人間が確認できる情報。アカウントに対して手動で比較。

または、2番目の要素を追加できます。参加者に登録を送信しますSMS彼らが最初にスキャンするときに、ローカルwifiでビーコンをキャプチャします。その後、今後スキャンするたびに近似チェックを行うことができます。彼らの電話がアクセスをブロックし、別のSMSリンクを送信する必要がある場合は、2要素すべてを処理することもできますが、アプリがより迅速に通知を送信できるようにする必要があります。


または、バーコードを完全に隠すことができます。あなたのアイデアは赤いセロファンでした...なぜブラックアウトカバーではないのですか?これは、ポストイットやハイタックテープのように汚れていたり、バーコードを覆い隠すだけのスリーブのようにきれいである可能性があります。

3
Oli

簡単な解決策:バッジではなくストラップにバーコードを印刷します。

誰でもバーコード付きの紙で作った写真付きIDを印刷できます。ご家庭の印刷機器でストラップにバーコードを印刷するのはかなり複雑です。

PhotoIDが次のようになっている場合:

Hard plastic PhotoID

このバーコードが本当の取引なのか、それともバーコードのバージョンに印刷されて接着されているのかを警備員が判断するのは非常に困難です。イベントに300人以上が参加している場合、これらのことを確認するのは非常に退屈です。バーコードが大きいほど良いです。紙で作られたPhotoIDを使用する場合は、印刷物が本物か偽物かを判別できなくなります。
バーコードがストラップにある場合、これが偽物か本物かを警備員が非常に簡単に知ることができます。ただし、これは決してフェイルセーフな方法ではありません。これは実際には「もうお金が残っていない」コントロールであり、信頼できるものではありません。

3
Tom K.

他のコメントで述べられているように、あなたが直面している脅威が何であるかは不明です。身分証明書を撮影する人々について純粋に心配している場合は、パスの自然な物理的状態がバーコードを覆い隠すように何かをしてください。たとえば、パスを半分に折りたたむことができ(ストラップで半分に保つことができます)、バーコードを内側に配置できます。人々がそれらをスキャンするために行くとき、あなたはバーコードを明らかにするために安全にパスを「展開」することができます。または、IDを身に付けながら、ポケットにバーコード付きカードを入れて入場させることもできます。

2

理論的には、分極したもので印刷できます。次に、偏光または偏光フィルターを使用して表示します。必ずしも安いとは限りません。

おそらく、一般的なカメラに通常あるフィルターを回避するために、直線偏光または円偏光を選択できます。

2
Smegger

厳密にはありません。スキャナーがそれを読み取ることができれば、それを記録および再生することができます。しかし、それだけではすべての話はわかりません。

最近のカメラとスクリーン/プリンターはかなり普遍的ですが、すべての色をキャプチャして再現することはできません。実際には人間の目で見ることのできる色がありますが、カメラでキャプチャしたり、画面に表示したり、紙に印刷したりするのは困難です。

いくつかの単純な例には、蛍光色、スキャナーによって放出された特定の色の光によって引き起こされる実際の蛍光(たとえば、緑の植物がUV光の下でオレンジ色に光る)、UVや赤外線などの非可視色が含まれます。また、逆の方法で、通常は表示されるがスキャナーには表示されない機能を含めることもできます。たとえば、バーコードの一部が用紙の間に挟まれており、スキャナーの下でのみ適切に透明になる場合があります。多くの紙幣には、透明度、特殊な染料と紙、光る/ホログラムの要素などに基づくこのようなセキュリティ対策が組み込まれています。

これは、スキャナーがそれを検出できることは明らかです。つまり、攻撃者が同様のデバイスを作成してカードを記録する可能性があるからです。しかし、それはすぐに手に入る一般消費者向けのカメラが利用できないことを意味するので、敵は特殊な機器(購入することさえ合法ではないかもしれない)を入手するか、独自のデバイスを構築する必要さえあります。同様に、再現も課題です。 CMYKスペースの外の色を使用すると印刷できず、RGBの外では電話の画面に表示されません。繰り返しになりますが、彼らはcanの特殊な画面/紙を入手または作成できます(結局のところ、正当なIDカードを作成できた人なら誰でも)難しいでしょう。言うまでもなく、法執行機関がそれらを見つけるのは簡単です。なぜなら、多くの人々がそのような特殊な機器を正当な理由なしに持っているとは限らないからです。

ここでの理想的なソリューションは、暗号化機能を備えたRFIDチップを使用することです。それらを再現するための技術的スキルを持っている人はほとんどいません。たとえそうであっても、チップ内の暗号化キーを簡単に見つけることはできません。低コストのオプションとして、磁気カードは安価であるはずです。それらは簡単に複製できますが、機器が必要です。実績のある物理アクセス制御ソリューションは、もちろんプレーンキーです(コピーもそれほど簡単ではありません)。または、すべてを忘れて、記憶されたパスワードを使用することもできます。

スキャナーを本当に使用する必要がある場合は、蛍光インクを調べるか、特定の波長(スキャナーが提供すると推定される波長)を除いて正しく見えない素材に印刷します。スキャナーとは何か。

2
Artimithe55

すべてのバーコードがまったく同じ場所に印刷されることを確認できる場合は、バーコードリーダーのスロットを変更して、境界を覆うものでIDを正確に配置できます。したがって、誰かが写真を印刷しようとしたが、中心からわずかにずれている場合、バーコードは読み取られません。

ただし、レセプションにはそのようなものはなく、機密データを含むものだけをお勧めします。このようにして、「詐欺師」はそれがうまくいったと思い込んで、制限された領域を通過しようとすると内部で立ち往生します。人によっては、外に出てそれを修正し、彼らの意図を明らかにしようとするのは危険です。 「共通エリア」に入る前に彼がブロックされた場合、彼らはそれを修正して別の人でもう一度試す機会があるかもしれません。

1
Moacir

バーコードのコピーに集中しすぎていると思います。これを行う正しい方法は、すべての訪問者に一意のIDを発行し、そのIDを追跡して、さまざまな場所に(場合によっては)チェックインすることです。 IDがすでに会場内にある場合、入場は禁止されます。正当なID所有者の前に、訪問者がコピーされたバーコードでエントリを取得する可能性はまだあります。ただし、このような場合、正当な所有者は、何らかの領収書によって、IDの正当な所有者であることを証明できます。次に、コンピュータでそのIDを無効にして、コピーされたIDフォームからの出席をロックアウトできます。
しかし、これは努力する価値がありますか?一部の不正な訪問者はどのような害を及ぼしますか?最善のセキュリティ対策は、詐欺を防ぐためのセキュリティ対策があることを人々に伝えることだけかもしれません。 "発行されたIDを追跡し、誰かが不正なエントリを取得したことが判明した場合は、警察が到着するまで警備員に面倒を見てもらうことに注意してください"または同様の方法で対処できます。 .. :-)

0
Roland Giersig

警備員が監督するアクセスポイントを保護するだけで十分な場合、安価な2要素認証はどうでしょうか。身分証明書と一緒に、プラスチックのトークン、カジノチップ、ゴム製のダッキー、またはゲートクラッシャーになるとすぐに入手できないその他の小物を配ります。

ストラップに取り付けるための穴またはその他の方法が必要です。そうしないと、人々がそれを右または左に失うか、「失う」ことになります。

0
alexis

バーコードが十分に小さい場合、少なくとも着用者がそれに気付かずに写真を撮ることは実際にはそれほど簡単ではありません(8ptまたは6ptの文字の高さについて考えてください...)

ここでは、ハンドヘルド携帯電話のカメラについて話しているとしましょう。ハイエンド(デュアルレンズ)電話、クリップオンテレコンバーター、プロ/マニア向けカメラ、光学ズーム、RAW処理、または三脚は含まれていません。面倒なことをすべて手に入れる人は、おそらくあなたのチケットを支払う余裕があります。

写真の最も長い側で2000ピクセルの有効解像度が得られる12MP電話カメラを想定してみましょう。 4000ではなく、2ピクセル未満の構造を忠実に再現しようとすると、エイリアシングまたはアンチエイリアスが発生します。

多くの場合、画像が電話ファームウェアによって自動的に後処理され、特に画像の中心から外れた部分のレンズの欠陥が修正されるため、正確な再生に利用できる有効解像度を再び半分にすることができます。ピクセルはそのためにラスターからぶつかります...

標準の電話用カメラレンズを想定しましょう。これは、光学ズームを備えていない24mmまたは28mm相当の広角であり、倍率を上げても余分な解像度は得られません。

バーコードが機能するために100ピクセルの解像度が必要な場合、それは誰かがフレームの1/20を埋めるように写真を撮影する必要があり、遠近の歪み、揺れ、その他のエラーを招くことなく行う必要があることを意味します。 。

1cmの長さの小さなバーコードは、28mm相当のレンズで1メートルの距離からスナップされたフレーム幅の1/100を埋めるだけです...誰かが0.5メートルの距離で誰かに近づいた場合、おそらく1/50侵入のためにオフ。

0
rackandboneman