最近一年,智能门锁频频亮相各类智能家居展、安博会等行业类展会,关注热度很高,各品牌都卖力地宣传自己的亮点和新功能。创新是好事情,可以促进行业繁荣,给消费者带来更好的使用价值和用户体验。但是门锁毕竟是一个安全产品,事关家庭的人身和财产安全,作为消费者选购的时候也需要认真区分下哪些是厂家宣传的噱头,哪些是真正实用的功能,哪些又是有安全隐患的功能,家庭安全马虎不得须认真对待。
现在家庭使用的门锁主要有三种类型,最常见的是机械锁,日常用钥匙开锁;第二类是指纹密码锁,是一种电子锁,不用携带钥匙,用提前录入的指纹或设置的密码开门;第三类就是智能锁,通常具有联网功能,提供手机App进行远程权限管理,家门被撬时会有电话预警。
指纹密码锁跟智能锁的最明显区别在于是否提供便捷的远程管理功能,在市场上的售价也相差不大,集中在1500~3000元左右。毫无疑问在移动互联时代智能锁的便利程度会更高,但也有用户质疑智能锁联网之后的安全性。通过跟摇光智能创始人余绵梓的深入交流记者了解到,门锁互联的安全性是完全可以做到的,安不安全主要取决于厂家安全策略选择。下面就来普及一下智能门锁相关的三组安全关键词。
远程开锁VS禁止远程开锁
为了解决没带钥匙、送钥匙的问题,一些智能锁厂家设计了远程开锁功能并大力宣传。这个功能虽然很抓眼球,乍一想很有需求,但是门锁只要具有远程开锁功能,就有被黑客攻击的安全风险,尽管理论上可以做到无安全风险,但到目前为止,没有任何一款软件是完全没有漏洞的。这种机制黑客攻击一旦成功,所有安装的门锁都可能会被远程打开,安全风险巨大。而且“黑客坐在家里从远程打开门锁”和“小偷带着工具去现场撬门”相比,所冒的风险是完全不一样的,更方便了“有文化”的坏人。
因此,摇光智能开发的智能锁坚决禁止远程开锁功能,但是也为没带钥匙的情况提供了一种安全的解决方案——一次性密码。所谓的一次性密码是指当有朋友已经到门口而主人又不在家时,主人可以通过APP以短信方式发送一个一次性密码给对方,此密码输入一次后自动失效,且有时效限制,过期也会自动失效。当然上述的一次性密码必须是“离线密码”,即此密码在门锁不联网时就可以实现。关于为什么必须是离线密码就是下一组我们要讲的关键词。
在线密码VS离线密码
远程发送密码是智能锁厂家解决没带钥匙、送钥匙问题的另一解决方案,可以选择发送一次性密码,或者限定一定时间段的限时密码。这种密码如果使用“在线密码”机制,本质上有和"远程开锁"相当的安全隐患。门锁厂家的服务器一旦被攻击者控制,就可以把所有的这个品牌的门锁都设置成最简单一致的密码,比如"123456",且一直有效,通过在线机制跟门锁进行实时同步,这样所有安装的这个厂家的门锁都可以用这个通用密码打开。这种系统性风险对家庭来说是不可以接受的。
但有些场合的智能锁必须采用这种策略,需要由智能锁厂家打开智能锁,比如摩拜(mobike)的共享自行车可能会采取这种策略。摩拜(mobike)共享自行车智能锁的安全属性不高,被破解和攻击也只会影响到自行车本身,最坏的结果就是可以免费骑车,不会涉及到用户的财产和人身安全,因此这种机制是可行的。但是如果用到个人家庭,安全考虑是不足够的。
摇光智能“离线密码”技术路径的实现机制是:在门锁注册时,门锁和APP/服务器系统会协商好一个算法种子和对应的算法。之后在任意时刻,如果要使用密码,门锁和APP/服务器系统都会按注册时协商好的算法种子和算法进行计算,因此即使在门锁不联网时,也可以通过APP给对方发送一次性密码,门锁是可以识别其身份的。反之,如果发送密码时,需要门锁也是联网的,那就只能称为“在线密码”。
现在市场上绝大部分的智能锁厂家都采用了“在线密码”机制,这种机制处理起来很简单,因为App、服务器以及门锁三者之间可以实时同步,避免掉了很多复杂的身份验证过程。这种机制用在长短租公寓、酒店等租赁领域可能问题不大,因为大部分集中式公寓和酒店都配备有前台值班和楼道监控,即使发生门锁被打开的情况,也会比较容易发现。当然,一旦发生因智能门锁被破解而导致的安全事故,对公寓和酒店的品牌形象也会有一定程度的影响。
摇光智能的家庭用和公寓用智能锁都采用了“离线密码”机制,从机制设计的源头上就杜绝了有可能被黑客攻击的安全隐患。尽管由于离线机制的选择,所需要处理的流程和场景多出了不止一倍,但是门锁是一个安全产品,一旦发生“万一情况”损失巨大。做一个对用户负责任的安全产品是摇光智能的选择。
密钥存储于服务器VS密钥不存储于服务器
一些智能锁厂家图省事会直接把用户的开锁密钥存储于服务器上,这种机制一旦发生服务器被攻击,就有数据泄密风险,另一方面也有厂家工作人员监守自盗风险。
应该来说,有软件安全方面技术实力的厂家都不会采用前一种方案,厂家不会有意想通过这套机制去打开用户门锁获利,反而可能由于一些意外情况带来意想不到的严重后果,比如数据被内部人员泄露或者被黑客攻击。
摇光智能采用的是不在自己的服务器上存储用户密钥的机制,无论是公司内部人还是黑客,都无法获取密钥打开门锁。当然这种安全机制也就要求厂家必须能闭环解决用户忘记密码、丢失手机等引起的一系列身份验证问题,解决好这些问题是比较复杂的。
摇光智能也特别提醒用户,不能简单地相信厂家所宣传的智能门锁的一些噱头功能,家用用门锁首要保证的是安全。要实现完整的安全策略,背后还需要大量技术手段予以保证,厂家的技术实力还是很重要的。这三组安全关键词基本上可以对市场上的智能锁厂家做一个划分,但肯定不是全部,智能锁要做到安全需要考虑的细节问题还有很多。
摇光智能的技术团队拥有十多年软硬件开发经验,拥有清华、北航、上海交大等高校高知背景,内部设有专门的安全算法设计师,在产品安全策略的设计和选择上都力求严谨。摇光智能是创始团队的第二次创业,在互联网的尘嚣中怀抱着一颗踏踏实实做产品的心。门锁虽是一个硬件产品,看上去没有温度,但对用户来说却是一道心理上的安全屏障。通过科技创新,能够让用户能够随时随地获知家的信息,随心随意感受科技带来的便利和贴心,是摇光智能追求的目标。摇光智能门锁,懂安全更懂你。