護照安全性 === ###### tags: `myself / 旅遊 / 出國`, ###### tags: `myself`, `旅遊`, `出國`, `護照`, `安全性`, `電子護照`, `RFID`, `NFC`, `MRZ`, `BAC`, `PACE`, `資安`, `隱私`, `個資`, `反盜刷`, `skimming`, `飯店`, `住宿`, `check-in`, `飯店登記`, `Android`, `NFC讀取`, `實測` <br> [TOC] <br> ## 討論 ### 為何護照夾/護照包,需要有 RFID 防盜? ![image](https://hackmd.io/_uploads/HkxhHspjHWx.png) - ### gpt-5.2 (2026/01/19) 因為**護照裡其實有一顆「RFID/NFC 晶片」(電子護照 ePassport)**,有些旅行收納包會加上 **RFID 屏蔽層**,目的不是防「偷走護照本體」,而是降低「被近距離讀取晶片資料」的風險。 ### 什麼情境會被「RFID 讀取」? * **護照放在包包外層、靠近陌生人**(排隊、捷運、機場人多處) * **你把所有家人的護照集中放一起**(一次被讀到的數量更多) * 有人拿著具備 NFC 功能的讀取器(原理上手機也能當讀取器的一部分)靠近你的包,在很短距離內嘗試讀取 > 現代電子護照的安全機制通常不差(例如需要開啟機器可讀區 MRZ 才能進一步存取晶片資料等),所以**不是「一靠近就能把資料整包偷走」那麼誇張**;但 RF 防護的定位更像是「多一層保險」,尤其在人多、你又把多本護照放一起時。 ### RFID 防盜(屏蔽)到底能防什麼? * **降低未經你同意的近距離掃描機會** * **避免你沒注意到時,被人反覆嘗試讀取** * 也常同時保護 **信用卡、悠遊卡、一卡通等感應卡片**(避免被誤刷或不必要感應) ## 你需要 RFID 防盜嗎?用簡單規則判斷 你符合下面任何一項,我會建議選有 RFID 層的: * 護照常放在**外出包的外側**、你也不太會再用內袋/夾層包起來 * 旅行時常在人多的地方(機場、車站、景點排隊) * 你是「**一次收 5 本護照**」的家庭用法(被掃到的潛在影響更大) * 你想要少操心:**不用每次想著護照放哪裡才安全** 如果你通常把護照放在**內層拉鍊袋**、或會用**隨身小包貼身帶**,RFID 屏蔽的重要性就比較下降。 ### 不買 RFID 包,也能做的替代方法 * 用一個 **RFID 防護套/防盜卡**(很薄)包住護照/卡片 * 護照統一放在**內層拉鍊夾層**,不要放外側口袋 * 分散攜帶:例如「主包放大人護照」,「隨身小包放孩子護照」避免全在同一處 如果你說一下你家常見的使用方式(例如:護照平常放哪、出國時誰拿、會不會帶隨身小包),我可以直接給你最省事、最符合你習慣的收納策略(不一定要買 RFID)。 <br> --- <br> ### RFID 讀取器能從護照裡讀取到什麼? - ### gpt-5.2 (2026/01/19) 一般所謂「RFID 讀取器」如果要讀 **電子護照(ePassport)晶片**,能讀到的內容取決於兩件事: 1. **你的護照晶片裡實際存了哪些資料(各國不完全一樣)** 2. **讀取器是否通過護照的存取控制(通常要先讀到護照資料頁的 MRZ 才能解鎖)** --- ### 最常見、也幾乎一定存在的兩類資料 * **基本身分資料(生物資料 / biographic data)**:通常就是你護照資料頁上印的那些內容(姓名、護照號碼、國籍、出生日期、到期日等)。([國土安全部][20260119-A-1]) 這些在標準裡常被歸在 **DG1**(資料群組 1)。([fidis.net][20260119-A-2]) * **持有人臉部照片(biometric: face image)**:多數國家把「臉部影像」作為晶片必備的生物特徵資料(很多國家也用它做自動通關比對)。([國土安全部][20260119-A-1]) --- ### 可能存在、但不一定每本護照都有的資料 不同國家/版本可能還會包含(或預留): * **指紋資料**(常見於 DG3,屬「可選」):有些護照/制度可能存,但並非所有護照都存。([icao.int][20260119-A-3]) * **虹膜資料**(DG4,屬「可選」):更少見。([icao.int][20260119-A-3]) 另外,晶片也會有**用來驗證真偽與防竄改的安全資料**(例如用於驗證資料完整性的簽章/安全物件等)。你不一定「看得到內容是什麼」,但讀取系統會用它來確認晶片資料沒被改過。([Digital Logic Ltd.][20260119-A-4]) --- ### 很重要的一點:不是「靠近就能把資料讀光」 多數電子護照會用存取控制機制(例如 **BAC / PACE**)來**阻止未授權讀取(skimming)**:讀取器通常要先從護照資料頁讀到 **MRZ**(那兩三行機器可讀字串)並用它導出金鑰,才被允許讀晶片內容,並且之後的通訊會加密。([icao.int][20260119-A-5]) 所以在現實中,隨機在人群中「隔空掃到你的護照晶片」的難度,通常比大家想像高;但 **RFID 防盜包**的定位就是再加一層「物理屏蔽」,讓你更不用擔心有人在你不注意、或你護照被打開/資料外流(例如影本、拍照)後被嘗試讀取。 --- ### 你想更精準知道「你的護照能被讀到什麼」 最快的方法是:用支援 ePassport 的讀取 App/讀卡器讀 **你自己的護照**(通常要輸入或掃描 MRZ 才能讀),它會列出晶片裡有哪些 Data Groups(DG1、DG2…)。很多人的護照通常只會看到 **DG1 + DG2**,有些才會多 DG3(指紋)等。([Digital Logic Ltd.][20260119-A-4]) 如果你告訴我你們家護照的發照國家(例如:台灣/日本/美國…)與大概換發年份,我可以更貼近各國常見配置,推估「最可能有/沒有的資料類型」。 [20260119-A-1]: https://www.dhs.gov/e-passports?utm_source=chatgpt.com "e-Passports | Homeland Security" [20260119-A-2]: https://www.fidis.net/resources/fidis-deliverables/hightechid/int-d36000/doc/8/?utm_source=chatgpt.com "D3.6: Study on ID Documents: Future of IDentity in the Information Society" [20260119-A-3]: https://www.icao.int/publications/documents/9303_p10_cons_en.pdf?utm_source=chatgpt.com "Doc 9303 Machine Readable Travel Documents Eighth" [20260119-A-4]: https://www.d-logic.com/nfc-rfid-reader-sdk/software/epassport-reading/?utm_source=chatgpt.com "EPassport Reading Software - NFC Reader MRTD Support 5.1.2" [20260119-A-5]: https://www.icao.int/Security/FAL/PKD/BVRT/Pages/Document-readers.aspx?utm_source=chatgpt.com "2-Access to ePassport chip" <br> --- <br> ### 要如何用 Android 手機測試讀取護照?(先知道如何讀取,才能防範) - ### gpt-5.2 (2026/01/19) 下面用 **Android 手機自己測試讀取電子護照(ePassport NFC 晶片)**的做法,重點是:**先用相機讀護照資料頁的 MRZ**,再用 **NFC 讀晶片**。這是因為護照晶片通常需要用 MRZ 衍生金鑰做存取控制(BAC / PACE),不是拿讀卡器靠近就能隨便讀。([國際民航組織][20260119-B-1]) --- ### 0) 你需要準備什麼 * 一支 **有 NFC 的 Android 手機** * 你的 **電子護照**(通常封面有「晶片」小標誌) * 一個能讀 ePassport 的 App(下面給兩個常見選擇) --- ### 1) 推薦 App(擇一即可) #### A. ReadID Me(原名 NFC Passport Reader) 它會先用相機掃描護照資料頁(MRZ)取得存取晶片所需資訊,再用 NFC 讀晶片,並顯示護照持有人資訊與做一些安全檢查。([Signicat][20260119-B-2]) #### B. uFR e-passport - MRTD reading(示範/測試用) 同樣是先用 MRZ(可掃描或手動輸入)再用 NFC 讀晶片,讀完顯示生物特徵與文件狀態。([Chrome-Stats][20260119-B-3]) --- ### 2) 讀取步驟(通用流程) 1. **打開手機 NFC** * 設定 → 連線/更多連線設定 → NFC(不同品牌位置略不同) 2. **打開 App,選「讀護照 / ePassport / MRTD」** 3. **先掃描護照資料頁的 MRZ** * MRZ 是資料頁下方那兩行(或三行)機器可讀字串 * App 會用這些資訊建立 BAC/PACE 存取(這一步是關鍵)([國際民航組織][20260119-B-1]) 4. **開始 NFC 讀晶片** * **把護照打開在資料頁**(很多護照封面/內頁可能有防讀取材料,合起來反而讀不到) * 把手機背面(NFC 天線位置)貼近護照:常見位置是**護照封面、背面、或資料頁附近**(各國/版本不同) * **穩住 5–20 秒不要晃**,等進度跑完 --- ### 3) 成功後通常會看到什麼 * 基本身分資料、臉部照片等(顯示範圍依各國護照與 App 而定) * 有些 App 會顯示「安全檢查」結果(例如文件簽章驗證等)([Signicat][20260119-B-2]) --- ### 4) 常見失敗原因與排除 * **手機殼太厚/有磁吸(MagSafe 類)**:先拔殼再試 * **NFC 天線位置沒對準**:手機上緣/中段/下緣都試試,慢慢滑動尋找「甜蜜點」 * **護照合起來讀不到**:改成打開在資料頁再讀 * **光線太暗 MRZ 掃不到**:先提高亮度/補光,或改手動輸入 MRZ(很多 App 有這選項)([Chrome-Stats][20260119-B-3]) --- ### 5) 安全測試建議(避免自己「外洩」) * **只讀自己的護照**(或家人護照需同意) * 測試時盡量: * 開 **飛航模式**(或至少關掉不必要網路) * 不要截圖、不要把 MRZ 貼到任何地方 * 在公共場合讀取時注意螢幕防窺 --- 如果你告訴我 **手機型號(例如 Pixel / Samsung / 小米)**與護照是 **哪一國**,我可以更精準跟你說:手機 NFC 天線大概在哪個區域、護照晶片比較常在哪一側,成功率會高很多。 [20260119-B-1]: https://www2023.icao.int/Security/FAL/PKD/BVRT/Pages/Document-readers.aspx?utm_source=chatgpt.com "2-Access to ePassport chip" [20260119-B-2]: https://www.inverid.com/readid-me-app?utm_source=chatgpt.com "Try our ReadID Me app" [20260119-B-3]: https://chrome-stats.com/d/com.dlogic.epassport?utm_source=chatgpt.com "uFR e-passport - MRTD Reading App" <br> --- <br> ### RFID 防盜就只是騙人把戲 - ### Q 還要掃描內頁,才能開始使用 NFC 讀晶片, 是不是掃不到內頁就無法進一步處理? RFID 防盜就只是騙人把戲 - ### gpt-5.2 (2026/01/19) 你這個懷疑很合理,但結論是: * **「要先掃內頁(MRZ)才能用 NFC 讀晶片」不是缺陷,反而是電子護照的設計:用來防止隨便被掃。** * **RFID 防盜不是騙人把戲,但它的效果是「多一層物理屏蔽」**,不是萬能;而且商品做得好不好差很多。 --- ### 1) 掃不到 MRZ,就真的「完全無法讀晶片」嗎? 多數情況下,**是的:你沒辦法直接讀到晶片內容**。 原因是電子護照通常有存取控制(常見 BAC / PACE): * **BAC**:讀取端要先用護照資料頁的 **MRZ**(護照號碼、生日、效期等)導出金鑰,才可以跟晶片建立安全通訊。([docs.trustx.com][20260119-C-1]) * **PACE**:概念類似,但更強,可能用 MRZ 或 **CAN(Card Access Number)** 來建立更安全的連線。([docs.trustx.com][20260119-C-1]) 所以你用手機 App 時「必須先掃 MRZ」是正常流程。掃不到 MRZ 通常就卡住;但**很多 App 其實支援手動輸入 MRZ**,不一定非得掃描成功。 --- ### 2) 那既然要 MRZ 才能讀,RFID 防盜是不是就沒用了? **不是沒用,而是它防的是「不同層級的風險」。** 把風險拆開看就很清楚: #### 風險 A:路人拿讀取器「亂碰你包包」想讀晶片 因為沒有 MRZ/密碼,**通常讀不出內容**(BAC/PACE 擋掉)。([docs.trustx.com][20260119-C-1]) → 這一類風險本來就被規格設計降低了。 #### 風險 B:對方已經拿到你的 MRZ(例如你護照資料頁被拍到、影本外流) 這時候對方**理論上就能用 MRZ 建立 BAC/PACE**,如果再能把讀取器靠近護照,就可能進一步嘗試讀取晶片。([docs.trustx.com][20260119-C-1]) → **RFID 防盜(屏蔽)在這裡就有用**:它讓「靠近也讀不到」,因為晶片根本沒辦法被 RF 場激活/通訊。 #### 風險 C:不是偷資料,是「追蹤/探測你身上有沒有晶片」 有些人擔心的是「被探測到你攜帶護照」這種層級(不一定讀到內容)。 → **RFID 屏蔽同樣有效**:它阻斷晶片回應。 所以 RFID 防盜不是騙人,它是**物理層的保護**;BAC/PACE 是**協定/加密層的保護**。兩者是疊加,不是互斥。 --- ### 3) 但你說得也對:很多「RFID 防盜」商品可能效果普通 這點我同意,而且是重點: * RFID 屏蔽要做得好,必須像「小型法拉第籠」那樣**完整包覆、縫線/拉鍊/開口不能漏**。 * 有些產品只是宣稱 RFID,但材料或結構做不好,實測會失效(尤其折痕、開口、拉鍊處)。 **最務實的做法:自己驗證。** * 拿一張你有的 **感應卡(悠遊卡/信用卡)** 放進護照包/防盜袋 * 用 Android 的 NFC 感應測試:如果手機隔著包還能讀到卡,表示屏蔽效果差或你沒把包完整闔上 (護照晶片和一般卡的感應規格不完全一樣,但用感應卡做「能不能被讀到」的快速檢查很實用。) --- ### 4) 真正「防範」的重點,比 RFID 更重要的是這幾個習慣 1. **別讓護照資料頁(MRZ)被拍到**:例如在櫃檯等候時護照攤開放桌上。 2. **不要把護照影本/照片到處傳**(尤其 MRZ 那兩行很關鍵)。 3. **護照集中收納時**(你是 5 本家庭),更建議: * 放內層拉鍊袋 * 或加一個可靠的屏蔽袋(RFID)當作「總保險」 --- 如果你願意,我可以用你「實際的收納方式」幫你判斷 RFID 值不值得: 你家出門時護照通常是 **放外層口袋/胸前包/媽媽包內層/行李箱** 的哪一種?只要一句話我就能給你最貼近的配置建議。 [20260119-C-1]: https://docs.trustx.com/preview/trust/nfc-introduction?utm_source=chatgpt.com "NFC Introduction - TrustX" <br> --- <br> ### 出國旅行,飯店都會要求掃描護照內頁留紀錄 - ### gpt-5.2 (2026/01/19) 對,很多國家/地區的飯店會要求登記身分資料;有些地方甚至**依法要求「出示護照」或「留存護照影本」**。這種情境下,你的直覺是正確的:**RFID 防盜完全防不了「被掃描/影印護照內頁」**,因為那是「視覺影像/文件複印」層面的風險,不是「無線讀晶片」的風險。 不過也要分清楚: 飯店做的「掃描護照」到底是掃 **資料頁照片**、還是用 NFC 讀 **晶片**。 --- ### 1) 飯店掃描護照內頁=通常是在掃「資料頁影像」 絕大多數飯店的做法是: * **看你的護照資料頁(有照片那頁)** * 把資料輸入系統,或直接掃描/影印留檔 這會把 **姓名、護照號碼、出生日期、效期、國籍**,以及最敏感的 **MRZ(底下兩行機器可讀碼)**一起留下。 在某些國家這是法規要求或主管機關指導(例如日本對「沒有日本住址的外國旅客」要求出示並影印護照)。([faq.japan-travel.jnto.go.jp][20260119-D-1]) ➡️ **這種情境下,RFID 防盜確實幫不上忙。** --- ### 2) RFID 防盜真正防的是「NFC/RFID 讀晶片」那條路 RFID 防盜(屏蔽)在防的,是有人把讀取器靠近你包包,想用無線方式去「喚醒晶片、通訊、讀資料」。 但你說得對:電子護照通常有 BAC/PACE 之類的存取控制,要先有 MRZ 才能建立安全通道,路人亂掃通常讀不出內容。([faq.japan-travel.jnto.go.jp][20260119-D-1]) RFID 屏蔽更像是 **在你「MRZ 已經外洩」或「你不想任何人靠近嘗試」時的額外保險**。 --- ### 3) 那我該怎麼「防範」飯店掃描/留存風險? 這才是你現在最需要的實務做法(比 RFID 更重要): #### A) 先接受一個事實:在某些國家,飯店依法就是要登記/留存 例如日本:對沒有日本住址的外國旅客,住宿時需填國籍/護照號碼,並出示且影印護照。([faq.japan-travel.jnto.go.jp][20260119-D-1]) #### B) 你可以做的「降低曝露」做法(不違規、又務實) * **只提供「資料頁」**(不要把簽證頁、出入境章頁都一起掃,除非對方明確要求) * **當場看著他們掃**,避免拿去後場掃描、或被拍照多次 * **詢問保存方式與保存期限**: 「這份掃描檔會存在哪裡?多久刪除?」(通常櫃檯會說依規定保存) * **避免用不安全方式傳送**: 盡量不要用 Email/LINE 傳護照照片;能「現場出示」就現場出示 * **選擇規模較大、制度較完整的飯店**:通常有比較明確的資料保護流程(雖非絕對) > 你也可以準備一份「護照資料頁影本」專門給飯店用,讓你的正本少被翻動與拍攝;但影本一樣包含敏感資料,保管也要謹慎。 --- ### 4) 所以 RFID 防盜是不是「騙人的」? 不是騙人;它只是**防的是另一種威脅模型**: * ✅ 防:你把 5 本護照集中放在包包裡時,避免有人靠近嘗試用無線方式讀晶片 * ❌ 不防:飯店掃描/影印護照資料頁、或你護照被拍照 如果你最在意的是「飯店一定要掃描留存」,那你要投入的重點應該是**資料最小化 + 不用網路傳送 + 監督掃描過程 + 選信任的業者**;RFID 就只是加分項,不是核心。 --- 如果你願意補一句:你們通常去哪個地區旅行(例如日本、歐洲、東南亞)?我可以把「哪些地方常見一定要留影本/哪些地方通常只登記資料」跟你說得更貼近實際,並給你一個家庭版 check-in 的 SOP。 [20260119-D-1]: https://faq.japan-travel.jnto.go.jp/en/faq/articles/102005?utm_source=chatgpt.com "Is it necessary for overseas visitors to show their passport upon checking in at accommodations? – FAQ TOP" <br> {%hackmd vaaMgNRPS4KGJDSFG0ZE0w %}