Niemieckojęzyczna grupa zajmująca się szeroko pojętymi zabezpieczeniami cyfrowymi Chaos Computer Club przedstawiła własną analizę problemu, wraz z algorytmem działania algorytmu szyfrującego Crypto1 (stosowanego w omawianych kartach) już w grudniu 2007 r. Dodatkowo zaprezentowano wtedy rozmaite sposoby ataku i łamania zabezpieczeń kart zbliżeniowych, wykorzystujące luki w mechanizmie szyfrującym i generatorze liczb pseudolosowych. Według CCC, uzyskanie kluczy zabezpieczeń normalnemu PC zajęłoby kilka minut, sekundy przy użyciu specjalistycznego sprzętu.

Reakcją firmy NXP na powyższe dokonania było wypuszczenie kart Mifare Plus, gdzie skompromitowane szyfrowanie Crypto1 zastąpiono dużo bezpieczniejszym AES-128. Dodatkowo NXP ma zamiar ubiegać się o certyfikację wg normy EAL-4+, wydawaną przez grupę BSI.

W październiku 2008 r. pojawiło się w Internecie narzędzie do programowego łamania kluczy. Wystarczy przechwycić fragment połączenia pomiędzy kartą a uprawnionym czytnikiem (przyjęty protokół wymaga, aby czytnik uwierzytelnił się pierwszy), niemniej w dalszym ciągu zadanie takie wymaga niemałej wiedzy informatycznej oraz dobrej znajomości obsługi czytników RFID.

Zmieniać, nie zmieniać

Należy się spodziewać dalszych doniesień o coraz sprawniejszych próbach klonowania kart zbliżeniowych. Czy jednak w tej sytuacji należy wpadać w panikę, gwałtownie zmieniając całe systemy? Nie wydaje się to słuszne, przynajmniej, dopóki nie pojawią się regularne doniesienia o udanych wyłudzeniach i włamaniach dokonywanych za pomocą klonowanych kart.

Innym problemem jest powszechność i złożoność obsługiwanych przez nie systemów. W krajach Beneluksu szacuje się ponad 2 mln użytkowników, w Polsce karty Mifare Classic wykorzystywane są na mniejszą skalę, lecz również coraz powszechniej (chociażby karty miejskie). Rozsądnym rozwiązaniem jest na pewno przejście z kart Classic na Plus i uzupełnienie zabezpieczeń.