อันตรายของการใช้เลข CSN ของบัตร RFID ในระบบควบคุมการเข้าออก​

ความเข้าใจผิดในเรื่องระบบความปลอดภัยนี้ อาจนำมาซึ่งความเสียหายอันใหญ่หลวง​

อนอื่นคงต้องมาทำความเข้าใจกันก่อนว่า CSN นั้นคืออะไร
‍CSN = Card Serial Number หรือก็คือหมายเลขจำเพาะของ บัตรชนิดไร้สัมผัส (Contactless Smart Card) ซึ่งบัตรประเภทนี้จำเป็นต้องมี CSN เพื่อให้เป็นไปตามที่กำหนดในมาตรฐาน ISO14443 และ ISO15693 คำว่า CSN นี้ อาจมีใช้เรียกได้หลายแบบ เช่น UID (Unique ID), หรือ CUID (Card Unique ID) ซึ่งมาตรฐาน ISO กำหนดไว้ว่าหมายเลข CSN นี้ต้องสามารถถูกอ่านได้อย่างอิสระโดยไม่ต้องมีการเข้ารหัสหรือป้องกันใดๆ​ นอกเหนือจากนี้ ในปัจจุบันมีเครื่องมือมากมายที่สามารถใช้คัดลอก เลียนแบบหมายเลข CSN นี้ได้อย่างกว้างขวาง หากให้เปรียบเทียบง่ายๆ เลข CSN นี้ก็เปรียบเสมือนเลขที่บ้าน ที่กฎหมายกำหนดให้ทุกบ้านต้องติดไว้ให้เห็นและอ่านได้อย่างชัดเจน เพื่อระบุบ้านเลขที่ของบ้านแต่ละหลัง

"เลข CSN ถูกนำมาใช้ยังไงในระบบควบคุมการเข้าออก (ACCESS CONTROL)??"
‍เครื่องอ่านบัตร หรือที่หลายคนมักเรียกว่า เครื่องทาบบัตรนั้นจะทำการอ่านหมายเลข CSN ของบัตรไร้สัมผัส (Contactless Smart Card) แทนที่จะใช้ข้อมูลเฉพาะที่เก็บอยู่ในหน่วยความจำที่ปลอดภัย เมื่อบัตรถูกนำมาทาบบนเครื่องอ่าน มันก็จะอ่าน และแปลงเลข CSN นี้เป็นรูปแบบ 26-bit Wiegand หรือรูปแบบที่ไม่ปลอดภัยแบบอื่น และจากนั้นจึงส่งเลขนี้ไปยังอุปกรณ์ต่อพ่วงอื่นๆ เช่น คอนโทรลเลอร์ หรือ host computer

โดยทั่วไป หาก 26-bit Wiegand Protocol ถูกนำมาใช้ หมายเลขบัตร 16-bit จะถูกตัดออกมาจากเลข CSN และ ฟิลด์ข้อมูล Site Code ก็มักจะถูกโปรแกรมเก็บไว้ในเครื่องอ่านล่วงหน้าอยู่แล้ว วิธีการนี้สร้างความเป็นไปได้ว่าจะเกิดเลขซ้ำกันขึ้นได้ ซึ่งโดยทางทฤษฎีแล้ว จะมีการซ้ำกันอย่างน้อย 1 หมายเลข ในทุกๆบัตร 65,535 ใบ

การแก้ไขขั้นพื้นฐานทำได้โดยการใช้ card format ที่มีหมายเลขบัตรในจำนวน bit มากขึ้น บางโรงงานอาจจะมีการใช้ทั้งหมายเลขบัตรที่มีจำนวน bit ยาวขึ้นและ หมายเลข site code ที่กำหนดเองได้ ปัญหาการซ้ำซ้อนของหมายเลขบัตรนี้ ไม่ได้จำกัดอยู่แค่ Wiegand Protocol แต่มันเกิดขึ้นได้กับทุกๆ protocol ที่มีการใช้การตัดค่า bit ที่ได้รับมาจาก CSN เพื่อนำมาใช้เป็นหมายเลขบัตร