8月11日,京津冀消费者协会联合发布智能门锁比较试验结果。结果显示智能门锁在IC卡解锁、指纹解锁等方面存在问题较多,但经过“小黑盒事件”后,智能门锁厂家开始重视高强度磁场对智能门锁的冲击。本次比较试验购买的智能门锁样品对高强度磁场干扰已经有解决策略,消费者无需担心“小黑盒”对于智能门锁的安全性的影响。
28个品牌38把样品,32把样品可用假指纹解锁
据京津冀三地消费者协会联合公布的网售智能门锁测试结果显示:在测试的38把样品中,6把样品极低温环境下无法解锁;8把样品电磁兼容试验存在异常反应;24把样品的IC卡钥匙可被破解复制;30把样品可靠性差;32把样品可用制作的假指纹解锁。
在本次比较试验的38把智能门锁样品中有36把带有指纹模块。比较试验中,采样用制作指纹进行解锁测试。结果显示,14把门锁样品宣称是检测活体指纹对假指纹可以进行防护,但当使用假指纹进行试验时,都可以被解锁,这与销售网页宣传的检测活体指纹不符。
密码逻辑安全试验。密码设置是智能门锁的主要功能之一,现阶段智能门锁主要通过添加虚位密码、密码有效长度、错误密码限制等方式保证密码安全。其中,设置虚位密码的目的是防止用户在输入密码时被偷窥,但是任何密码都有暴力破解的风险,虚位密码允许的位数越长,每次暴力破解的容量越大,被暴力破解的风险也就越大。
比较试验从虚位密码长度、密码有效长度、允许输入错误密码次数和锁屏时间四个方面对38把智能门锁样品进行了横向比较,部分门锁样品表现优异。
APP解锁存风险 临时密码破解风险高
此外,比较试验还发现APP解锁存在风险。经测试,APP主要是通过蓝牙连接、WiFi直连、网关连接、微信小程序四种方式连接智能门锁。部分门锁可以通过APP分享临时密码。在测试时发现有一些门锁不通过联网即可生成临时密码,这种情况常见于使用微信小程序,将加密算法分别固化在门锁和微信小程序里,在实际使用过程中,临时密码被破解的风险较高。
值得关注的是,本次比较试验对样品进行了“小黑盒”干扰试验。“小黑盒”实质是一个特斯拉线圈,场强达到95dBuv以上。经测试,“小黑盒”贴近门锁样品后样品屏幕会被点亮,“小黑盒”靠近的按键会识别被按下,但38把样品均没有异常解锁的现象。
提示:指纹解锁及时擦拭残留 防窃取
京津冀三地消协提示消费者
- 建议选购带有半导体指纹识别技术的智能门锁产品,安全性高于光电式指纹门锁,同时建议厂家适度宣传,不要过度宣传活体指纹。
- 选择具有虚位密码的智能门锁产品,使用过程中设置多位密码,并且在首次安装智能门锁后,修改默认密码,以防被不法分子通过默认密码打开门锁。
- 建议携带智能门锁IC卡时要谨慎,不要挂到他人易触碰的位置。保险起见,可以关闭智能门锁的IC卡解锁功能,尽可能的减少利用复制的IC卡解锁的风险。
- 在使用指纹解锁功能时,需要注意指纹模块上是否有异物,需要定期进行擦拭,防止指纹残留,被不法分子窃取。
- 如果不经过与智能门锁联网即可生成临时密码,则应尽量避免使用此功能。
附:四点重要提示
最后,针对大家比较关注的智能锁安全问题,某业内人士给出了几点重要提示:
- 如果有IC卡开门的强需求,务必选择CPU卡,破解成本相对较高、破解难度相对较大。没有这个强需求最好关闭此功能。
- 凡是不通过“锁-云-机”三方密钥通讯联网就可生成临时密码的,肯定都是“耍流氓”,务必关闭此功能。
- 指纹造假技术已经非常泛滥,并且还在不断升级,切记最好不要将个人指纹残留在任何地方。
- 至于人脸识别锁安全与否?公共开放场景使用没有问题,私人场景需要注意。个人脸部信息目前获取的方法很多,不要过于相信3D、双模、活检等技术,材料技术的进步远超你的想象。
