Toegangskaarten op bouwplaatsen: Waarom MIFARE Classic onveilig is en hoe veilige encryptie werkt
Christopher Sura · donderdag 12 maart 2026 · 7min
Toegangskaarten horen op bouwplaatsen tot de dagelijkse praktijk. Maar de weinigsten weten dat de meeste toegangskaarten in seconden te kopiëren zijn – met apparaten van minder dan 50 euro.
Of het nu gaat om digitale toegangscontrole bij tourniquets, deuren of slagbomen – wie bouwplaatspassen inzet zonder op de onderliggende encryptietechnologie te letten, riskeert onbevoegde toegang, diefstal en manipulatie van de aanwezigheidsregistratie. UID-gebaseerde toegangskaarten en MIFARE Classic kaarten zijn in seconden te kopiëren – met vrij verkrijgbare apparaten van minder dan 50 euro.
In dit artikel leggen we uit waarom UID-uitlezing en MIFARE Classic een beveiligingsrisico vormen en hoe een moderne, versleutelde toegangscontrole voor bouwplaatsen op basis van MIFARE DESFire EV3 dit probleem volledig oplost.
Toegangskaart kopiëren: Waarom UID-gebaseerde RFID-kaarten onveilig zijn
De meeste eenvoudige toegangssystemen lezen alleen de UID (Unique Identifier) van een kaart uit – een vast ingebrand serienummer dat bij de productie wordt toegekend. Het probleem: deze UID wordt bij elke uitlezing onversleuteld overgedragen. Er vindt geen authenticatie plaats tussen kaart en lezer.
Dat betekent concreet:
- Elke NFC-compatibele smartphone kan de UID van een toegangskaart binnen enkele seconden uitlezen.
- UID-cloners zijn vanaf ca. 30 euro op internet verkrijgbaar en maken een werkende kopie op een lege kaart.
- Het toegangssysteem kan geen onderscheid maken tussen de originele kaart en een kopie.
Op een bouwplaats betekent dat: iedere persoon die ook maar even in de buurt van een toegangskaart komt, kan zich ongemerkt toegang verschaffen. Onbevoegde personen, diefstal van bouwmateriaal en manipulatie van de aanwezigheidsregistratie zijn het gevolg.
MIFARE Classic gekraakt: Waarom deze toegangskaarten geen veiligheid bieden
Veel aanbieders gebruiken MIFARE Classic kaarten en prijzen deze aan als „veilig", omdat ze in tegenstelling tot pure UID-uitlezing een vorm van encryptie bieden. Maar deze veiligheid is bedrieglijk.
MIFARE Classic gebruikt het propriëtaire Crypto-1-algoritme, dat al in 2008 volledig is gekraakt. Sindsdien zijn meerdere aanvalsmethoden openbaar gedocumenteerd:
- Darkside-aanval: Maakt het uitlezen van de sleutels mogelijk, zelfs als geen enkele sector van de kaart bekend is.
- Nested-aanval: Is één sleutel bekend (bijv. de fabrieksstandaard), dan kunnen alle overige sleutels in enkele minuten worden berekend.
- Hardnested-aanval: Werkt ook bij individueel ingestelde sleutels en vereist slechts een Proxmark- of Flipper Zero-apparaat.
Belangrijk om te weten:
Alle hulpmiddelen voor het klonen van MIFARE Classic kaarten zijn vrij verkrijgbaar en vereisen geen expertkennis. Een Flipper Zero van ca. 200 euro volstaat om MIFARE Classic kaarten binnen enkele minuten volledig te kopiëren.
Het resultaat: MIFARE Classic biedt geen noemenswaardige veiligheid meer en is voor gebruik in de toegangscontrole op bouwplaatsen, waar honderden personen in- en uitlopen, simpelweg ongeschikt.
Fraudebestendige toegangskaarten: Zo werkt MIFARE DESFire EV3 encryptie
Bausicht zet in op MIFARE DESFire EV3 – de actuele industriestandaard voor zeer veilige contactloze toegangskaarten. In tegenstelling tot MIFARE Classic is DESFire EV3 gebaseerd op de AES-128-encryptiestandaard, die ook in het bankwezen en bij overheidsinstanties wordt gebruikt.
De doorslaggevende beveiligingskenmerken:
- Wederzijdse authenticatie: Kaart en lezer authenticeren elkaar voordat er gegevens worden uitgewisseld. Simpelweg uitlezen of afluisteren is daarmee uitgesloten.
- Versleutelde communicatie: Alle gegevens tussen kaart en lezer worden AES-versleuteld overgedragen. Het afluisteren van de radioverbinding levert alleen onbruikbare gegevens op.
- Gediversifieerde sleutels: Elke afzonderlijke kaart krijgt een unieke, kaartspecifieke sleutel. Zelfs als een aanvaller erin zou slagen de sleutel van één enkele kaart te extraheren, zou daarmee geen enkele andere kaart gecompromitteerd zijn.
Wat betekent Key Diversification?
Bij Key Diversification wordt uit een geheime master key en kaartspecifieke informatie (bijv. de UID) een unieke kaartsleutel afgeleid volgens NIST-conforme algoritmen. De master key verlaat daarbij nooit de Secure Access Module.
Deze methode waarborgt dat:
- Geen enkele kaartsleutel gelijk is aan een andere – zelfs bij duizenden kaarten in het systeem.
- De master key nooit wordt blootgesteld – noch op de kaart, noch in de lezer.
- Een kopie van een toegangskaart uitgesloten is, omdat de kaartsleutel niet uit de kaart kan worden geëxtraheerd.
Secure Access Module (SAM) – Manipulatiebestendige sleutelopslag voor uw toegangscontrole
Een centraal element van onze beveiligingsarchitectuur is de Secure Access Module (SAM AV3) – een manipulatiebestendige cryptochip met EAL5+ certificering. Deze module wordt zowel in de USB-kaartlezer aan de pc als in de toegangscontrollers op de bouwplaats ingezet.
De SAM neemt de volgende taken op zich:
- Veilige sleutelopslag: De master keys worden uitsluitend in de SAM opgeslagen en verlaten deze nooit – ook niet bij een fysieke aanval op de lezer.
- Cryptografische bewerkingen: Alle versleutelings- en ontsleutelingsprocessen vinden direct in de SAM plaats. De sleutel wordt op geen enkel moment in het werkgeheugen van de controller of pc geplaatst.
- Manipulatiebescherming: De EAL5+ certificering bevestigt dat de chip beschermd is tegen fysieke aanvallen (side-channel-aanvallen, probing, fault injection).
Zelfs als een aanvaller een toegangslezer van de muur demonteert en het apparaat volledig uit elkaar haalt, kan hij de opgeslagen sleutels niet uitlezen.
Versleutelde toegangscontrole op de bouwplaats: Van de kaart tot de server
Veiligheid eindigt niet bij de toegangskaart. Bausicht waarborgt een volledig versleutelde communicatieketen vanaf het moment van het kaartlezen tot de verwerking op de server:
1. Kaart → Lezer (contactloos)
De communicatie tussen MIFARE DESFire EV3 kaart en lezer verloopt via een AES-128 versleutelde sessie met wederzijdse authenticatie. Afluisteren of een replay-aanval is uitgesloten.
2. Lezer → Controller (OSDPv2 Secure Channel)
De lezer communiceert met de toegangscontroller via het OSDPv2-protocol met Secure Channel. OSDPv2 is de opvolger van het verouderde Wiegand-protocol en biedt:
- AES-128 versleuteld datakanaal tussen lezer en controller
- Wederzijdse authenticatie van lezer en controller
- Bescherming tegen manipulatie, replay-aanvallen en man-in-the-middle-aanvallen
Goed om te weten:
Het verouderde Wiegand-protocol, dat nog in veel toegangssystemen wordt gebruikt, draagt gegevens onversleuteld over. Met een eenvoudige Wiegand-sniffer van ca. 20 euro kunnen kaartgegevens direct aan de kabel worden afgetapt – helemaal zonder toegang tot de kaart zelf.
3. Controller → Server (TLS)
De communicatie van de toegangscontroller naar de Bausicht-server verloopt via een TLS-versleutelde verbinding. Alle toegangsgegevens worden versleuteld overgedragen en op de server veilig verwerkt.
Veilige bouwplaatspassen aanmaken: Plug & Play ondanks beveiligingsnormen voor kritieke infrastructuur
Ondanks deze uitgebreide beveiligingsarchitectuur is de inrichting voor u als klant uiterst eenvoudig. Bausicht stelt een Microsoft Windows-app en een Chrome browser-plug-in beschikbaar, waarmee u nieuwe toegangskaarten in enkele seconden versleuteld kunt toewijzen:
- USB-kaartlezer met geïntegreerde SAM op de pc aansluiten
- Bausicht-app of Chrome-plug-in openen
- Medewerker selecteren en kaart opleggen – klaar
De volledige sleutelafleiding, versleuteling en het beschrijven van de kaart verloopt automatisch op de achtergrond. U heeft geen enkele vakkennis van cryptografie of IT-beveiliging nodig. Het systeem voert alle beveiligingsrelevante stappen volautomatisch uit.
Samenvatting: Veilige toegangscontrole voor bouwplaatsen in één oogopslag
| Component | Technologie | Beveiligingsniveau |
|---|---|---|
| Toegangskaart | MIFARE DESFire EV3 | AES-128, kaartspecifieke sleutels |
| Sleutelopslag | Secure Access Module (SAM AV3) | EAL5+ gecertificeerd, manipulatiebestendig |
| Kaart ↔ Lezer | DESFire Secure Messaging | AES-versleuteld, wederzijdse authenticatie |
| Lezer ↔ Controller | OSDPv2 Secure Channel | AES-128 versleuteld, bidirectioneel geauthenticeerd |
| Controller ↔ Server | TLS | End-to-end versleuteld |
| Kaarttoewijzing | Windows-app / Chrome-plug-in + USB-lezer met SAM | Plug & Play, diefstalbestendig |
In tegenstelling tot UID-gebaseerde of MIFARE Classic systemen biedt Bausicht een volledig versleutelde toegangscontrole voor bouwplaatsen, waarbij het kopiëren van een toegangskaart uitgesloten is. Tegelijkertijd blijft de bediening zo eenvoudig als bij elk ander systeem – alleen dan veilig.
Ideaal voor kritieke infrastructuur en hoogbeveiligde omgevingen
De volledig versleutelde beveiligingsarchitectuur van Bausicht is niet alleen geschikt voor klassieke bouwplaatsen, maar is bijzonder geschikt voor projecten in de kritieke infrastructuur en hoogbeveiligde omgevingen. Overal waar de hoogste eisen aan de toegangscontrole worden gesteld, biedt ons systeem de noodzakelijke beveiligingsbasis:
- Datacenters: Beheerders van kritieke IT-infrastructuur zijn onderworpen aan strenge eisen, zoals de NIS-2-richtlijn. Een fraudebestendige toegangscontrole met AES-256-encryptie en manipulatiebestendige SAM-modules voldoet aan deze eisen.
- Militaire terreinen: Bij de bouw en het onderhoud van militaire installaties is de toegang streng gereguleerd. Kaartspecifieke sleutels en EAL5+-gecertificeerde cryptochips waarborgen dat onbevoegde toegang onmogelijk is.
- Banken en financiële instellingen: Van de nieuwbouw van een bankfiliaal tot de verbouwing van een kluisruimte – de combinatie van DESFire EV3, OSDPv2 Secure Channel en TLS-encryptie voldoet aan de beveiligingsnormen van de financiële sector.
- Energievoorziening en nutsinfrastructuur: Energiecentrales, transformatorstations en waterzuiveringsinstallaties behoren tot de meest gevoelige onderdelen van de publieke voorzieningen. Een toegangscontrole waarbij kaartkopieën uitgesloten zijn, is hier onmisbaar.
Goed om te weten:
De Bausicht-toegangscontrole voldoet aan strenge beveiligingseisen zoals BSI-Grundschutz en is geschikt voor projecten die onder de regelgeving voor kritieke infrastructuur en de NIS-2-richtlijn vallen.
Veilige toegangscontrole voor uw bouwplaats met Bausicht
Wilt u uw bouwplaats of uw project in de kritieke infrastructuur beveiligen met fraudebestendige toegangskaarten op basis van MIFARE DESFire EV3? Met de digitale toegangscontrole van Bausicht krijgt u een volledig versleutelde oplossing – van de kaart tot de server. Overtuig uzelf en test het 14 dagen gratis!
Til Uw Kennis naar een Hoger Niveau!
Verdiep Uw Kennis
Ontdek informatieve inzichten in de bouwsector via onze blogberichten terwijl wij uw aanvraag behandelen.
Vakkennis
Toegangskaart kopiëren? Waarom MIFARE Classic op bouwplaatsen een beveiligingsrisico is
Christopher Sura
Vakkennis
Gegevensbescherming - Toegangscontrole op de bouwplaats
Christopher Sura
Vakkennis
AI in de bouwsector: Prognose 2024
Tristan Ratz
Bausicht in Actie zien?
Plan vrijblijvend en gratis een demo-afspraak om te ontdekken hoe Bausicht u in de toekomst tijd en geld kan besparen.