最近一年,智能門鎖頻頻亮相各類智能家居展、安博會等行業類展會,關注熱度很高,各品牌都賣力地宣傳自己的亮點和新功能。創新是好事情,可以促進行業繁榮,給消費者帶來更好的使用價值和用戶體驗。但是門鎖畢竟是一個安全產品,事關家庭的人身和財產安全,作為消費者選購的時候也需要認真區分下哪些是廠家宣傳的噱頭,哪些是真正實用的功能,哪些又是有安全隱患的功能,家庭安全馬虎不得須認真對待。
現在家庭使用的門鎖主要有三種類型,最常見的是機械鎖,日常用鑰匙開鎖;第二類是指紋密碼鎖,是一種電子鎖,不用攜帶鑰匙,用提前錄入的指紋或設置的密碼開門;第三類就是智能鎖,通常具有聯網功能,提供手機App進行遠程權限管理,家門被撬時會有電話預警。
指紋密碼鎖跟智能鎖的最明顯區別在于是否提供便捷的遠程管理功能,在市場上的售價也相差不大,集中在1500~3000元左右。毫無疑問在移動互聯時代智能鎖的便利程度會更高,但也有用戶質疑智能鎖聯網之后的安全性。通過跟搖光智能創始人余綿梓的深入交流記者了解到,門鎖互聯的安全性是完全可以做到的,安不安全主要取決于廠家安全策略選擇。下面就來普及一下智能門鎖相關的三組安全關鍵詞。
遠程開鎖VS禁止遠程開鎖
為了解決沒帶鑰匙、送鑰匙的問題,一些智能鎖廠家設計了遠程開鎖功能并大力宣傳。這個功能雖然很抓眼球,乍一想很有需求,但是門鎖只要具有遠程開鎖功能,就有被黑客攻擊的安全風險,盡管理論上可以做到無安全風險,但到目前為止,沒有任何一款軟件是完全沒有漏洞的。這種機制黑客攻擊一旦成功,所有安裝的門鎖都可能會被遠程打開,安全風險巨大。而且“黑客坐在家里從遠程打開門鎖”和“小偷帶著工具去現場撬門”相比,所冒的風險是完全不一樣的,更方便了“有文化”的壞人。
因此,搖光智能開發的智能鎖堅決禁止遠程開鎖功能,但是也為沒帶鑰匙的情況提供了一種安全的解決方案——一次性密碼。所謂的一次性密碼是指當有朋友已經到門口而主人又不在家時,主人可以通過APP以短信方式發送一個一次性密碼給對方,此密碼輸入一次后自動失效,且有時效限制,過期也會自動失效。當然上述的一次性密碼必須是“離線密碼”,即此密碼在門鎖不聯網時就可以實現。關于為什么必須是離線密碼就是下一組我們要講的關鍵詞。
在線密碼VS離線密碼
遠程發送密碼是智能鎖廠家解決沒帶鑰匙、送鑰匙問題的另一解決方案,可以選擇發送一次性密碼,或者限定一定時間段的限時密碼。這種密碼如果使用“在線密碼”機制,本質上有和"遠程開鎖"相當的安全隱患。門鎖廠家的服務器一旦被攻擊者控制,就可以把所有的這個品牌的門鎖都設置成最簡單一致的密碼,比如"123456",且一直有效,通過在線機制跟門鎖進行實時同步,這樣所有安裝的這個廠家的門鎖都可以用這個通用密碼打開。這種系統性風險對家庭來說是不可以接受的。
但有些場合的智能鎖必須采用這種策略,需要由智能鎖廠家打開智能鎖,比如摩拜(mobike)的共享自行車可能會采取這種策略。摩拜(mobike)共享自行車智能鎖的安全屬性不高,被破解和攻擊也只會影響到自行車本身,最壞的結果就是可以免費騎車,不會涉及到用戶的財產和人身安全,因此這種機制是可行的。但是如果用到個人家庭,安全考慮是不足夠的。
搖光智能“離線密碼”技術路徑的實現機制是:在門鎖注冊時,門鎖和APP/服務器系統會協商好一個算法種子和對應的算法。之后在任意時刻,如果要使用密碼,門鎖和APP/服務器系統都會按注冊時協商好的算法種子和算法進行計算,因此即使在門鎖不聯網時,也可以通過APP給對方發送一次性密碼,門鎖是可以識別其身份的。反之,如果發送密碼時,需要門鎖也是聯網的,那就只能稱為“在線密碼”。
現在市場上絕大部分的智能鎖廠家都采用了“在線密碼”機制,這種機制處理起來很簡單,因為App、服務器以及門鎖三者之間可以實時同步,避免掉了很多復雜的身份驗證過程。這種機制用在長短租公寓、酒店等租賃領域可能問題不大,因為大部分集中式公寓和酒店都配備有前臺值班和樓道監控,即使發生門鎖被打開的情況,也會比較容易發現。當然,一旦發生因智能門鎖被破解而導致的安全事故,對公寓和酒店的品牌形象也會有一定程度的影響。
搖光智能的家庭用和公寓用智能鎖都采用了“離線密碼”機制,從機制設計的源頭上就杜絕了有可能被黑客攻擊的安全隱患。盡管由于離線機制的選擇,所需要處理的流程和場景多出了不止一倍,但是門鎖是一個安全產品,一旦發生“萬一情況”損失巨大。做一個對用戶負責任的安全產品是搖光智能的選擇。
密鑰存儲于服務器VS密鑰不存儲于服務器
一些智能鎖廠家圖省事會直接把用戶的開鎖密鑰存儲于服務器上,這種機制一旦發生服務器被攻擊,就有數據泄密風險,另一方面也有廠家工作人員監守自盜風險。
應該來說,有軟件安全方面技術實力的廠家都不會采用前一種方案,廠家不會有意想通過這套機制去打開用戶門鎖獲利,反而可能由于一些意外情況帶來意想不到的嚴重后果,比如數據被內部人員泄露或者被黑客攻擊。
搖光智能采用的是不在自己的服務器上存儲用戶密鑰的機制,無論是公司內部人還是黑客,都無法獲取密鑰打開門鎖。當然這種安全機制也就要求廠家必須能閉環解決用戶忘記密碼、丟失手機等引起的一系列身份驗證問題,解決好這些問題是比較復雜的。
搖光智能也特別提醒用戶,不能簡單地相信廠家所宣傳的智能門鎖的一些噱頭功能,家用用門鎖首要保證的是安全。要實現完整的安全策略,背后還需要大量技術手段予以保證,廠家的技術實力還是很重要的。這三組安全關鍵詞基本上可以對市場上的智能鎖廠家做一個劃分,但肯定不是全部,智能鎖要做到安全需要考慮的細節問題還有很多。
搖光智能的技術團隊擁有十多年軟硬件開發經驗,擁有清華、北航、上海交大等高校高知背景,內部設有專門的安全算法設計師,在產品安全策略的設計和選擇上都力求嚴謹。搖光智能是創始團隊的第二次創業,在互聯網的塵囂中懷抱著一顆踏踏實實做產品的心。門鎖雖是一個硬件產品,看上去沒有溫度,但對用戶來說卻是一道心理上的安全屏障。通過科技創新,能夠讓用戶能夠隨時隨地獲知家的信息,隨心隨意感受科技帶來的便利和貼心,是搖光智能追求的目標。搖光智能門鎖,懂安全更懂你。