【資安觀察】你家的門禁卡安全嗎？從高中生破解悠遊卡看傳統讀卡機的致命漏洞

在數位科技發達的今天，我們習慣用一張感應卡（門禁卡、悠遊卡、學生證）進出辦公室、宿舍甚至是自家大門。這種「嗶」一聲就開門的便利，背後隱藏的安全風險可能遠超乎你的想像。

最近一則新聞引起不少資安圈討論：一名北部高中生，僅靠網路上就能買到的 NFC 讀寫器，成功破解悠遊卡晶片資料，不只修改儲值金額，甚至從中牟利數十萬元。這起事件不只是單一犯罪，更為現行主流的 RFID／NFC 門禁系統 敲響了警鐘。

傳統 RFID／NFC 門禁卡因採用「認卡不認人」的驗證方式，只要卡片 UID 被讀取或複製，系統便無法辨識實際進出者身分。近期高中生破解悠遊卡的事件顯示，使用市售 NFC 讀寫設備即可重製卡片內碼，這類門禁架構已難以因應現代資安需求。相較之下，人臉辨識門禁透過生物特徵驗證與活體偵測技術，能從根本降低偽造、轉用與冒用風險，成為企業與商辦場域的主流安控選擇。

• 傳統 RFID／NFC 門禁卡（如 MIFARE Classic 晶片）存在結構性資安漏洞，使用市售 NFC 讀寫設備即可在短時間內複製卡片 UID，形成高度複製風險。
• 多數讀卡機門禁系統仍採「認卡不認人」設計，無法有效防範卡片遺失、借用、側錄或惡意竄改所造成的安全問題。
• 相較之下，人臉辨識門禁透過生物特徵驗證，能從根本解決實體憑證被偽造或轉移的風險，已成為企業與商辦場域的主流安控選擇。
• 搭配活體偵測（Liveness Detection）技術，人臉辨識系統可有效阻擋照片、影片與假體攻擊，大幅提升整體門禁安全等級。

一、為什麼門禁卡容易被複製？解析傳統讀卡機的結構性漏洞

很多人會以為悠遊卡與門禁卡屬於不同系統，但從技術本質來看，兩者其實都建立在相同世代的 RFID／NFC 感應架構之上。

1. 破解工具門檻極低，電商平台即可入手

根據新聞與資安社群分析，該名高中生使用的 NFC 讀寫設備（如 ACR122U 或 PN532 等），在電商平台或電子材料行都能輕鬆買到，價格僅需數百至數千元。這代表破解門禁卡早已不是「專業駭客」的專利。

2. MIFARE 舊式晶片漏洞：幾乎等同「明碼」通訊

不少企業與社區仍在使用的 MIFARE Classic 等早期晶片，這些技術存在已久的加密漏洞：

• UID 唯一識別碼極易複製： 部落客 AndyWu 曾實測，只要讀取到卡片的 UID（內碼），就能在幾秒內製作出一張功能一模一樣的「影子卡」。
• 加密金鑰被暴力破解：許多讀卡機與卡片之間的通訊並未經過強化的二次加密，專業讀寫器能快速解鎖資料，隨意竄改權限或數值。
• 認卡不認人：系統只會驗證「卡號」，無法確認「持卡者身分」。

👉 延伸閱讀 : 雲端門禁是什麼？AI人臉辨識打造企業智慧出入口管理【GoFace】

二、 為什麼「認卡不認人」的安控系統已經過時？

傳統門禁系統最大的風險，其實只有一句話： 系統信任的是卡片，不是人。

三、安全防禦升級：為什麼越來越多場域改用人臉辨識門禁？

為了彌補 RFID 技術的先天不足，越來越多企業、商辦與高端住宅開始導入 人臉辨識門禁系統。這並非單純追求科技感，而是為了回歸安控本質：身分驗證。

1. 不可複製的生物金鑰： 臉部特徵具有唯一性，不像卡片可以被複製或轉借。
2. 活體偵測：活體偵測（Liveness Detection）技術是指系統透過 3D 深度感測或動態演算法，判斷門禁前的影像是否為真實的人臉，有效阻擋照片、影片或面具等假體攻擊。
3. 零接觸與高效率整合：結合 AI 演算法，能在毫秒間完成比對，並同步整合 雲端考勤、訪客管理 等自動化作業，大幅降低管理人力負擔。
4. 即時預警與追蹤：相較於感應卡只能留下「卡號紀錄」，人臉辨識能留下清晰的視覺軌跡，一旦發生異常，管理後台可立即追蹤對象。

👉 延伸閱讀 : 2025最新人臉辨識技術解析：了解發展趨勢及應用場景

四、真正的安全，不該只是一聲「嗶」

真正的安全，不該只是一聲「嗶」

當破解技術與工具已經普及，單純依賴實體卡片作為門禁安全防線，已無法滿足現代企業與場域的資安需求。

高中生破解悠遊卡的新聞再次證明：當破解技術與工具已經普及，單純依賴卡片本身來當安全防線是非常脆弱的。

門禁安全的核心，在於系統是否真的知道「現在進來的，是不是對的人」。 對於追求高標準資安的企業與場域而言，從「認卡」轉向「認人」的人臉辨識，已不再是選項，而是必然的趨勢。

五、常見問題 Q&A｜門禁卡安全與人臉辨識一次看懂