前两个月做了一个 IC 卡的案子，用的是记忆体卡。做了一半才发现， 原来 IC 卡还真是一个不怎麽安全的东西。 我用的是西门子的 SLE4428, 是目前最流行的低价 IC 记忆体卡，它有 2 bytes 的密码，其他许多卡则往往根本没有密码保护。而根据经验， 我想一定有不少用这张卡的系统都没有设定密码。 由於没有密码检查就什麽都不能做，所以一个 IC 记忆卡系统的密码， 就算有做设定修改，除非是需要使用者自行输入密码的系统，不然单靠 卡片来验证的系统，则肯定是同一个密码。 更别提其他根本没有密码保护的卡片了。 也就是说，只要会使用 Microsoft SmartCard SDK, 想要破解任何一个 IC 记忆卡系统，若是系统开发商没有仔细做安全规划，都不会是一件 足够困难的事情。特别是卡片本身相当便宜，想要自行伪造十分容易。 当然，想要有足够的安全性，总是要靠整体系统的配合，单靠一项技术 就想要建构系统安全，是一件很不牢靠的事情，这也算是基本常识了。 只是社会对於 IC 卡的信任，显然远超过这个技术本身内建的安全性， 恐怕迟早会出现大问题。 -- SLE4428 的中文简介资料： http://www.21ic.com/new_info/news/files/news/200484131849.html -- 此文不欢迎媒体炒作，也请勿转载。 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 61.222.173.26