1、远程开锁
为了解决没带钥匙、送钥匙的问题,一些智能锁厂家设计了远程开锁功能。但是门锁只要具有远程开锁功能,就有被黑客攻击的安全风险,尽管理论上可以做到无安全风险,但到目前为止,没有任何一款软件是完全没有漏洞的。这种机制黑客攻击一旦成功,所有安装的门锁都可能会被远程打开,安全风险巨大。而且黑客坐在家里从远程打开门锁和小偷带着工具去撬门,所冒的风险是完全不一样的,更方便了“有文化”的坏人。
2、在线密码
远程发送密码是智能锁厂家解决没带钥匙、送钥匙问题的另一解决方案。但是使用“在线密码”机制发送密码,本质上有和"远程开锁"相当的安全隐患,门锁厂家的服务器一旦被攻击者控制,可以把所有的门锁都设置成最简单一致的密码,比如"123456",且永久有效,通过在线机制跟门锁进行实时同步,这样所有安装的门锁都可以用这个通用密码打开。
但有些场合的智能锁必须采用这种策略,需要由智能锁厂家打开智能锁,一些自行车的智能锁可能会采取这种策略,虽然这种智能锁的安全属性不高,被破解也只会影响到自行车本身,很难涉及到用户的财产和人身安全,但是如果用到个人家庭,安全考虑是不足够的。
“远程开锁”功能和“在线密码”机制从本质上还是存在不少的安全风险。
那么针对“没带钥匙、送钥匙”这个痛点有没有安全的解决方案呢?
答案当然是有。送钥匙问题完全可以用一次性密码功能解决。所谓的一次性密码是指当有朋友到门口时,主人可以通过APP以短信方式发送一个一次性密码,此密码输入一次后自动失效,且一般都是时效限制。当然上述的一次性密码必须是“离线密码”,即此密码在门锁不联网时就可以实现。
“离线密码”技术路径的实现机制,是在门锁注册时,门锁和APP/服务器系统会协商好一个算法种子和对应的算法,之后在任意时刻,如果要使用密码,锁和APP/服务器系统都会按注册时协商好的算法种子和算法进行计算,因此即使在锁不联网时,也可以通过APP给对方发送一次性密码。反之,如果发送密码时,需要门锁也是联网的,那就只能称为“在线密码”。