互联智能门锁——主要安全性隐患
1。
开门数据指令被窃取风险
智能门锁的一大特色就是用电子钥匙取代传统机械钥匙,开门指令就是一串电子密钥。一部分不具备技术实力的智能锁厂家,甚至开门的指令数据都不加密,或者简单借用蓝牙本身的加密通道,这些做法是不可取的,指令数据很容易被窃取,对用户造成安全隐患。
是否具有足够高级别的加密算法和严密的安全策略,是区分智能锁厂家实力的硬指标之一。
2。
服务器被攻击导致密钥泄漏风险
一些智能锁厂家的密钥存储于服务器上,一旦发生服务器被攻击,就有数据泄密风险,另一方面也有监守自盗风险。
智能锁厂家可以选择不在自己服务器上存储用户密钥的安全机制,无论是公司内部人还是黑客,都无法获取密钥开启门锁。
当然也就要求这类厂家必须能闭环解决用户忘记密码、丢失手机等引起的一系列问题,解决好这些问题是比较复杂的。因此也需要提醒用户,不能简单地相信厂家所宣传的智能门锁的安全性,要实现完整的安全策略,背后还需要大量技术手段予以保证,厂家的技术实力还是很重要的。
智能锁安全——用户需要了解的两个不安全概念
1。
远程开锁
为了解决没带钥匙、送钥匙的问题,一些智能锁厂家设计了远程开锁功能。但是门锁只要具有远程开锁功能,就有被黑客攻击的安全风险,尽管理论上可以做到无安全风险,但到目前为止,没有任何一款软件是完全没有漏洞的。
这种机制黑客攻击一旦成功,所有安装的门锁都可能会被远程打开,安全风险巨大。而且黑客坐在家里从远程打开门锁和小偷带着工具去撬门,所冒的风险是完全不一样的,更方便了“有文化”的坏人。
2。
在线密码
远程发送密码是智能锁厂家解决没带钥匙、送钥匙问题的另一解决方案。
但是使用“在线密码”机制发送密码,本质上有和
远程开锁
相当的安全隐患,门锁厂家的服务器一旦被攻击者控制,可以把所有的门锁都设置成最简单一致的密码,比如123456
,且永久有效,通过在线机制跟门锁进行实时同步,这样所有安装的门锁都可以用这个通用密码打开。
但有些场合的智能锁必须采用这种策略,需要由智能锁厂家打开智能锁,一些自行车的智能锁可能会采取这种策略,虽然这种智能锁的安全属性不高,被也只会影响到自行车本身,很难涉及到用户的财产和人身安全,但是如果用到个人家庭,安全考虑是不足够的。
“远程开锁”功能和“在线密码”机制从本质上还是存在不少的安全风险。
。
