Guida ai portachiavi RFID
Jul 01, 2026
Lasciate un messaggio
Portachiavi RFID per il controllo degli accessi: una guida per l'acquirente su tipologie, compatibilità, sicurezza e approvvigionamento OEM

Un portachiavi RFID è una piccola credenziale senza contatto che trasporta un chip e un'antenna e identifica un utente tramite un lettore senza contatto fisico. Questo è semplice. Ciò che infastidisce la maggior parte degli acquirenti è tutto ciò che sta a valle: se il telecomando parlerà effettivamente con i lettori già fissati al muro, se il chip può resistere a un dispositivo di clonazione da € 30 e se un fornitore può codificare correttamente 5.000 unità prima della spedizione. Questa guida è scritta per le persone che prendono queste decisioni - Responsabili IT e di strutture che eseguono un aggiornamento e team di approvvigionamento che acquistano portachiavi RFID in grandi quantità.
L'errore più costoso in questa categoria è ordinare solo in base alla frequenza. La frequenza è necessaria ma non sufficiente. Di seguito, compatibilità, sicurezza e approvvigionamento vengono trattati come le tre decisioni che determinano effettivamente se una distribuzione funziona - e più o meno in quest'ordine di rischio.
Come funziona un portachiavi RFID (e perché è importante per l'acquisto)
Un telecomando passivo non ha batteria. Quando entra nel campo del lettore, l'antenna raccoglie energia da quel campo, sveglia il chip e il chip risponde. In un sistema di base la risposta è semplicemente un identificatore fisso; in un sistema sicuro il telecomando e il lettore eseguono un handshake crittografico prima che venga scambiato qualsiasi cosa sensibile. Il controller dietro il lettore controlla quindi l'identità rispetto alle sue regole di accesso e sblocca la porta - o registra il rifiuto.
Da ciò derivano due conseguenze pratiche. Innanzitutto, poiché i telecomandi passivi traggono energia dal lettore, in genere durano oltre un decennio senza manutenzione, motivo per cui quasi tutti gli accessi agli edifici li utilizzano anziché i tag attivi alimentati a batteria. In secondo luogo, la differenza tra "il telecomando invia un numero" e "il telecomando dimostra chi è" è l'intera storia della sicurezza - ed è decisa a livello di chip, prima ancora che tu pensi all'alloggiamento o al marchio. Se vuoi che la fisica sia più approfondita, guarda questa ripartizione dicome funzionano i portachiavi RFID per il controllo degli accessi.
Frequenza e tipo di chip: la decisione sulla compatibilità
Esistono tre bande di frequenza e non interagiscono. Un lettore da 125 kHz non può leggere un fob da 13,56 MHz e viceversa. All'interno di ciascuna banda, la famiglia di chip e lo standard di comunicazione restringono ulteriormente la compatibilità.
| Banda | Intervallo di lettura tipico | Chip/standard comuni | Meglio per |
| 125kHz (LF) | 2–10 cm | EM4100, TK4100, Prox HID, T5577 | Accesso legacy, basso costo |
| 13,56 MHz (HF) | 2–8 cm | MIFARE Classico, DESFire, NTAG, ISO 14443/15693 | Accesso sicuro, mobile, transito |
| 860–960 MHz (UHF) | 1–10 m | EPC Gen2, ISO 18000-6C | Tracciamento delle risorse, veicoli, logistica |
| Re | 183*203 | 37*37*193 | 108 pezzi |
125 kHz (bassa frequenza)
LF è vecchio, economico e tollerante nei confronti del rumore metallico e elettrico. Patatine comePortachiavi EM4100 e TK4100trasmettono un numero fisso,-di sola lettura. Questa affidabilità è anche il problema: un numero fisso senza crittografia può essere copiato in pochi secondi da un duplicatore economico. Scegli LF solo quando stai abbinando i lettori LF esistenti o quando la clonazione semplicemente non fa parte del tuo modello di minaccia - uno spogliatoio di una palestra, ad esempio, non un data center.
13,56 MHz (alta frequenza)
HF è l'impostazione predefinita per qualsiasi nuova implementazione in cui la sicurezza è importante. È disciplinato dallo standard ISO/IEC 14443 (con ISO/IEC 15693 che copre i chip nelle vicinanze a lungo- raggio d'azione), motivo per cui le credenziali HF interagiscono in modo pulito tra lettori conformi. Dominano tre famiglie di chip:
MIFARE Classico 1K- base installata enorme, basso costo e il motivo per cui viene ancora spedito in grandi quantità. Ma il suo codice Crypto-1 è stato violato pubblicamente anni fa, quindi dovrebbe essere trattato come una credenziale di convenienza, non come una credenziale di sicurezza. È una scelta sensata per l'iscrizione, il catering senza contanti o le porte interne in cui un clone rappresenta un fastidio piuttosto che una violazione. UNPortachiavi MIFARE 1K 13,56 MHzcopre la maggior parte di questi casi.
MIFARE DESFire EV3- l'attuale punto di riferimento per l'accesso- ad alta sicurezza. Secondo la documentazione DESFire di NXP, utilizza la crittografia hardware AES-128, l'autenticazione reciproca a tre-passi e la gestione delle chiavi per-applicazione, e l'IC è dotato di certificazione Common Criteria EAL5+ - la stessa classe richiesta ai chip bancari e ai passaporti elettronici. È retrocompatibile con EV2 ed EV1, il che rende realistica la migrazione a fasi. Se stai specificando un edificio governativo, una farmacia ospedaliera o il quartier generale di un'azienda, questo è il punto di partenza, non un aggiornamento da considerare in seguito.
NTAG (NFC)- progettato per interazioni-leggibili dal telefono anziché per un accesso protetto. Utile per i pass dei visitatori, l'autenticazione del prodotto e il marketing, meno per una porta sicura.
UHF
L'UHF legge in metri, non in centimetri, che è esattamente ciò che si desidera per pallet e veicoli ed esattamente ciò che non si desidera per una porta, dove leggere qualcuno a due stanze di distanza è una responsabilità. Mantieni UHF per il monitoraggio delle risorse e l'identificazione del cancello/veicolo.
Se stai valutando le fasce in base al costo totale piuttosto che al prezzo adesivo, questo confronto tra il costo delle credenziali di controllo degli accessi a 125 kHz e 13,56 MHz è un utile compagno, così come uno sguardo più attento ascegliere la giusta frequenza per i portachiavi RFID.

La lista di controllo della compatibilità Nessuno corre finché non è troppo tardi
La maggior parte degli ordini falliti condivide una causa principale: l'acquirente ha abbinato la frequenza e ha dato per scontato il resto. In pratica, quattro cose devono allinearsi: frequenza -, standard di comunicazione, famiglia di chip e formato delle credenziali (UID, codice struttura o applicazione crittografata proprietaria). Un lettore HID Prox ignorerà un generico telecomando EM4100 da 125 kHz anche se entrambi sono "125 kHz", perché il formato è diverso. Prima di qualsiasi ordine all'ingrosso, procedi come segue:
- Identificare il modello del lettore.Leggere l'etichetta su un lettore installato o controllare la documentazione della centrale. Sia il marchio che la versione del firmware contano - alcuni lettori accettano l'applicazione di sicurezza-più elevata di DESFire solo dopo un aggiornamento del firmware.
- Ispezionare una credenziale funzionante esistente.I contrassegni stampati o una rapida scansione con un lettore diagnostico rivelano solitamente il tipo e il formato del chip.
- Conferma il formato, non solo il chip.Chiedi se il sistema esegue l'autenticazione su UID, su un codice struttura o su un'applicazione crittografata con chiavi specifiche.
- Richiedi un campione e testalo sui tuoi lettori dal vivo.Questo passaggio previene quasi ogni-errore su larga scala.
- Chiarire la proprietà delle chiavi.Per DESFire e altri sistemi crittografati, decidere chi detiene le chiavi principali e come verranno diversificate prima della produzione, non dopo.
Quando colleghi due generazioni di lettori durante un lancio, aportachiavi a doppia-frequenzache trasporta sia un chip LF che un chip HF, consente a una credenziale di aprire porte vecchie e nuove contemporaneamente - spesso la differenza tra un fine settimana intermedio e un mese di sistemi paralleli. Per gli ambienti HID in particolare, questa nota suordinando credenziali compatibili con HID Prox-copre i dettagli del formato che catturano le persone.
RFID vs NFC: uno è un sottoinsieme dell'altro
NFC non è una tecnologia rivale dell'RFID - è una porzione specializzata di RFID HF a 13,56 MHz che aggiunge la comunicazione bidirezionale-, ovvero ciò che consente a un telefono di fungere da lettore o credenziale. Ogni dispositivo NFC utilizza i principi RFID; non tutti i sistemi RFID parlano NFC.
Questa distinzione decide se i telefoni possono sostituire i telecomandi nel tuo edificio. L'emulazione della scheda host di Android e le credenziali basate su Wallet-di Apple possono entrambe funzionare come chiavi di accesso, ma solo quando il lettore, il software di controllo degli accessi e il metodo di provisioning delle credenziali lo supportano. I lettori LF legacy non possono affatto utilizzare un telefono. In realtà la maggior parte delle organizzazioni li gestisce entrambi: chiavi elettroniche crittografate per il personale e gli appaltatori, credenziali mobili sovrapposte dove il parco lettori le supporta. L'analisi completa si trova in questa guidala differenza tra RFID e NFC.
Clonazione e sicurezza: cosa si può effettivamente copiare
"Può essere clonato?" ha tre risposte oneste a seconda del chip:
- Banalmente clonabile- chip-UID LF fissi (EM4100, TK4100) e qualsiasi sistema solo UID-non crittografato. Una fotocopiatrice portatile lo fa in un solo passaggio.
- Clonabile con fatica- MIFARE Classico. I punti deboli di Crypto-1 sono pubblici, quindi un utente malintenzionato determinato con gli strumenti giusti può recuperare le chiavi.
- Progettato per resistere alla clonazione- DESFire EV3 e altre credenziali basate su AES-, che si basano su autenticazione reciproca, chiavi di sessione dinamiche e diversificazione delle chiavi per-credenziali in modo che la compromissione di un telecomando non comprometta il sistema.
Il mito comune secondo cui "qualsiasi RFID può essere copiato con un telefono" confonde la lettura di un tag NTAG aperto con l'annullamento dell'autenticazione crittografica. Un telefono può emulare un semplice tag NFC; non può creare un handshake DESFire. Per una trattazione più completa del modello di minaccia, vedere questa panoramica diSicurezza dei dati RFID.
La scelta del chip, tuttavia, rappresenta solo la metà di un'implementazione sicura. La progettazione del sistema fa il resto:
- Sostituisci il cablaggio Wiegand precedente conOSDP, che supporta la comunicazione crittografata e supervisionata dal lettore-al-controller.
- Utilizzodiversificazione chiavequindi ogni credenziale deriva una chiave univoca da una chiave principale.
- Fare domanda aautorizzazioni basate sul ruolo-. Il modello NIST di controllo degli accessi basato sui ruoli - - uno standard ANSI/INCITS - è il riferimento seguito dalla maggior parte delle piattaforme di accesso aziendale e si associa in modo chiaro al modo in cui gli edifici assegnano effettivamente l'accesso in base alla funzione lavorativa.
- Correrecontrolli regolari: rivedere i registri, revocare le credenziali non utilizzate, ruotare le chiavi e mantenere aggiornato il firmware del lettore.
Una vera migrazione, dall'inizio alla fine
Lo schema riportato di seguito è tipico di un ufficio di medie-dimensioni che abbandona i vecchi lettori LF e mostra il motivo per cui le decisioni precedenti si complicano.
Un edificio con telecomandi EM4100 a 125 kHz decide di eseguire l'aggiornamento dopo che un inquilino segnala credenziali duplicate. Invece di scambiare tutto in una volta, installano lettori compatibili con DESFire EV3-piano per piano e rilasciano telecomandi a doppia-frequenza in modo che il personale mantenga sempre una credenziale. Le chiavi principali vengono generate e conservate dal cliente, diversificate per portachiavi e iniettate in fabbrica prima della spedizione. I lettori passano all'OSDP man mano che ogni piano viene tagliato. Le vecchie porte solo LF continuano a funzionare sullo stesso telecomando finché l'ultimo lettore non viene sostituito, a quel punto la funzione LF viene semplicemente ritirata dal software. Nessuna riemissione delle credenziali, nessuna coda nella lobby.

Lo schema riportato di seguito è tipico di un ufficio di medie-dimensioni che abbandona i vecchi lettori LF e mostra il motivo per cui le decisioni precedenti si complicano.
Un edificio con telecomandi EM4100 a 125 kHz decide di eseguire l'aggiornamento dopo che un inquilino segnala credenziali duplicate. Invece di scambiare tutto in una volta, installano lettori compatibili con DESFire EV3-piano per piano e rilasciano telecomandi a doppia-frequenza in modo che il personale mantenga sempre una credenziale. Le chiavi principali vengono generate e conservate dal cliente, diversificate per portachiavi e iniettate in fabbrica prima della spedizione. I lettori passano all'OSDP man mano che ogni piano viene tagliato. Le vecchie porte solo LF continuano a funzionare sullo stesso telecomando finché l'ultimo lettore non viene sostituito, a quel punto la funzione LF viene semplicemente ritirata dal software. Nessuna riemissione delle credenziali, nessuna coda nella lobby.
Il punto non è il marchio specifico - è che un approccio graduale, di proprietà della chiave e a doppia frequenza trasforma un'operazione di strappo e sostituzione dirompente in un'attività in background. Questo piano è possibile solo perché il chip (DESFire) e il fattore di forma (doppia-frequenza) sono stati scelti pensando alla migrazione.
Alloggiamento e materiali: si adattano all'ambiente, non al catalogo
L'alloggiamento raramente cambia molto il raggio di lettura, ma decide per quanto tempo sopravvive un telecomando. Il chip e l'antenna determinano le prestazioni; il guscio imposta la durata.
| Materiale | Carattere | Dove si adatta |
|---|---|---|
| Plastica ABS | Leggero, economico, neutro nel segnale | Ufficio generale e accesso residenziale |
| Epossidico | Lucido,-resistente all'acqua, stabile | Per uso all'aperto o in-abbigliamento sportivo |
| Silicone | Smorzamento del segnale morbido, flessibile e delicato | Palestre, zone umide |
| Pelle | Sensazione premium, personalizzabile | Hotel, regali aziendali |
| Legna | Sostenibile, distintivo | Marchi eco-focalizzati o orientati al design- |
Per condizioni difficili, specificare la tenuta IP67/IP68, una classificazione da −25 gradi a +85 gradi e resistenza ai raggi UV per qualsiasi cosa lasciata all'aperto. In questo articolo viene trattato un confronto-a-delle due shell più comuniConfronto tra portachiavi ABS e resina epossidica. Laddove l'apparenza fa parte del brief, aportachiavi RFID in pelleo aportachiavi ecologico in legno-porta un logo molto migliore dell'ABS stampato.
Programmazione: tre modi per codificare un Fob
"Programmare" significa scrivere l'identità, le chiavi o i dati di accesso nel chip. Il modo in cui lo fai dipende dalla scala e dalla sicurezza:
- Pre-codifica di fabbrica.Il fornitore scrive gli UID o le credenziali prima della spedizione. Il più veloce per implementazioni di grandi dimensioni e sistemi alberghieri; non sono necessari-strumenti sul sito.
- Codifica sul-sito.Le credenziali vengono rilasciate con un masterizzatore USB o con il software di registrazione del pannello di accesso. Ideale quando le assegnazioni cambiano spesso e si desidera il controllo diretto.
- Iniezione sicura della chiave.Per i sistemi DESFire e AES, le chiavi e le applicazioni di crittografia vengono fornite in condizioni controllate, spesso in fabbrica, pertanto le credenziali non possono essere duplicate senza autorizzazione.
Per gli ordini di grandi volumi, concorda in anticipo i dettagli pratici: velocità effettiva di codifica, gestione degli errori, unicità dell'UID, sincronizzazione del database e registrazione di controllo. Le aziende solitamente collegano la codifica al proprio sistema HR o di identità in modo che l'onboarding e l'offboarding determinino automaticamente lo stato delle credenziali.
Distribuzioni comuni
Gli uffici gestiscono ingressi, ascensori, piani e parcheggi in modo centralizzato, aggiornando i diritti senza toccare l'hardware. Gli hotel rilasciano credenziali che scadono al momento del pagamento - i meccanismi sono spiegati in questo articolocome funzionano le chiavi magnetiche dell'hotel. Gli ospedali bloccano farmacie, laboratori e archivi con autorizzazioni basate sui ruoli-per motivi di conformità. Le università riuniscono accesso, biblioteca, frequenza e pagamento senza contanti in un'unica credenziale. I siti industriali delimitano le zone pericolose e i locali tecnici in base al ruolo e al turno. In ogni caso la mossa vincente è la stessa: scegliere il chip per il livello di minaccia, poi lasciare che sia il software a gestire il resto.
Acquisto e approvvigionamento OEM
Il prezzo è l’ultima cosa da ottimizzare, non la prima. Analizzare i requisiti, quindi il chip, quindi la personalizzazione, quindi il fornitore.
Selezione del chip per livello di sicurezza
- Basso(residenziale, parcheggio): EM4100 / TK4100 / HID Prox.
- Medio(uffici, scuole, palestre): MIFARE Classic 1K o NTAG.
- Alto(finanza, sanità, governo): DESFire EV3 con AES e autenticazione reciproca.
Personalizzazione (OEM/ODM)
Gli acquirenti all'ingrosso raramente desiderano azioni generiche. Le opzioni tipiche includono stampa laser o serigrafica del logo-, codifica UID e pre-programmazione, numerazione seriale, colori e stampi personalizzati e integrazione QR/codice a barre - che supportano il branding, il monitoraggio delle risorse e l'anti-contraffazione. Confrontateli con quelli di un fornitoreFunzionalità OEM/ODMprima di impegnarsi.
MOQ, tempi di consegna e controllo
A titolo indicativo, i modelli di serie contengono 100-500 pezzi, gli OEM standard 500-3.000 pezzi e gli stampi completamente personalizzati 5,000+ pezzi, con un costo unitario in forte calo in termini di volume. I tempi di consegna vanno da 2 a 5 giorni per il magazzino, da 7 a 15 giorni per gli OEM standard e da 15 a 30+ giorni per gli strumenti personalizzati; buffer integrato per l'approvazione del campione e i test di codifica. Quando esamini un fornitore, conferma l'autenticità dei chip (NXP, HID), il supporto per i test di codifica e compatibilità-, la certificazione ISO/CE/RoHS e un campione fisico - non-negoziabile - prima della produzione di massa.
conclusione
Scegli il chip per il tuo effettivo livello di minaccia, verifica la compatibilità con i tuoi lettori reali prima di ordinare su larga scala e tratta crittografia, OSDP, diversificazione delle chiavi e autorizzazioni basate sui ruoli-come un unico sistema anziché quattro opzioni. Per i siti ad alta-sicurezza, DESFire EV3 più un percorso di migrazione graduale-di proprietà della chiave è la risposta duratura. Tutto il resto - alloggio, colore, marchio - è a valle della presa di queste tre decisioni giuste.
Se stai pianificando un aggiornamento o un ordine all'ingrosso, un controllo di compatibilità e un campione testato prima della produzione ti faranno risparmiare molto più di quanto costano. Puoi richiedere una valutazione o un preventivo di esempio per confermare che i tuoi telecomandi corrispondano al tuo sistema prima che qualsiasi cosa venga inserita nell'attrezzatura.
Domande frequenti
Qualsiasi portachiavi RFID può funzionare con qualsiasi lettore?
No. Frequenza, standard di comunicazione, famiglia di chip e formato delle credenziali devono tutti corrispondere. Due telecomandi "125 kHz" possono comunque essere incompatibili se il formato è diverso.
Quale portachiavi RFID è il più sicuro?
MIFARE DESFire EV3 con AES-128 e autenticazione reciproca è l'attuale punto di riferimento ad alta sicurezza, dotato di una certificazione EAL5+ paragonabile ai chip bancari.
I portachiavi RFID possono essere clonati?
I telecomandi LF con UID fisso- sono facilmente clonabili, MIFARE Classic può essere clonato con fatica e le credenziali DESFire/AES sono appositamente progettate per resistere.
I portachiavi RFID necessitano di batterie?
No. I telecomandi passivi traggono energia dal campo del lettore e in genere durano un decennio o più.
Uno smartphone può sostituire un portachiavi?
A volte. I telefoni NFC possono fungere da credenziali laddove il lettore e il software lo supportano, ma i sistemi LF legacy non possono utilizzare affatto i telefoni. Molti siti li gestiscono entrambi.
Cosa devo fare se smarrisco un portachiavi?
Segnalalo, disattivalo immediatamente nel sistema - non sono necessarie modifiche alla serratura - emetti una sostituzione dalle scorte di riserva ed esamina i registri di accesso per il periodo interessato.
Qual è il MOQ tipico e il tempo di consegna per i portachiavi personalizzati?
Gli ordini OEM standard partono solitamente da 500 a 3.000 pezzi con un tempo di consegna di 7-15 giorni; gli stampi personalizzati richiedono volumi più elevati e tempi di attrezzaggio più lunghi. Richiedi sempre prima un campione.
Invia la tua richiesta

