Quali sono le implicazioni sulla sicurezza dei sistemi di accesso senza chiave basati su telefono?

Naviga le tue risposte
4

Ho appena letto su Lockitron che promette di fornire una voce keyless basata su telefono per la casa. Per quanto mi sembra un'idea così straordinaria, mi sembra che potrebbe portare con sé delle serie implicazioni sulla sicurezza.

Loro pagina di sicurezza e Domande frequenti affrontare alcuni di questi problemi, ma non così vicino come in profondità come avrei sperato.

Le mie preoccupazioni iniziali sarebbero:

  • In definitiva metterei la chiave a casa mia nelle mani di Lockitron - con il rischio che queste chiavi possano essere utilizzate in remoto. Se mai avessero violato la mia casa, e ogni altro cliente, potrebbe esserlo anche lui.
  • Sembra che Lockitron funzioni su Wi-Fi, quindi c'è la possibilità che chiunque sul mio Wi-Fi possa accedere al dispositivo. Cosa succede se lo condivido con il mio vicino?
  • Se hai preso il mio telefono (come, immagino con molte persone) sarebbe relativamente semplice scoprire dove vivo.
  • Il mio smartphone può avere vulnerabilità che può consentire che venga violato

Quindi, quali altri pericoli ci sono e un sistema di accesso senza chiave basato su smartphone sarà mai abbastanza sicuro per la persona media? Posso vedere questo funziona bene in un condominio con un portiere, ma può mai essere abbastanza sicuro da indossare una porta d'ingresso non custodita?

    
posta Andy Smith 03.10.2012 - 13:10
fonte

3 risposte

4

Il più grande problema che ho riscontrato è che la tua compagnia di assicurazioni non gradirà affatto Lockitron. Quindi aspettati un aumento dei prezzi; o, abbastanza plausibilmente, se la tua casa è suddivisa in e c'è un Lockitron sul posto, allora sarà usato come scusa per non coprire le tue perdite. Anche se il ladro ha usato il metodo di ingresso molto vecchio conosciuto come big-stone-through-window.

Per disponibilità , non dovresti fare affidamento su un Lockitron per consentire l'immissione, perché:

  • L'accesso a Internet potrebbe essere inattivo per qualche motivo (inclusa l'interruzione di corrente).
  • Il telefono potrebbe non funzionare (è stato arrestato in modo anomalo, è stato rubato o anche una batteria scarica ...).
  • Lo stesso Lockitron potrebbe essere esaurito dalle batterie (si suppone ti avvisino in anticipo, ma quanto è affidabile? Ci sono pochi dati disponibili).
  • La società di Lockitron potrebbe andare in bancarotta ad un certo punto (non che io li desideri così, ma succede).
  • I server Lockitron potrebbero avere alcuni tempi di inattività.

Quindi dovresti avere ancora in tasca una chiave metallica di vecchio stile, se vuoi garanzie ragionevoli che potrai entrare nella tua casa tutte le sere. Soprattutto notti tempestose, il tipo di tempo in cui le interruzioni di corrente o di rete sono piuttosto comuni, e non si vuole davvero passare la notte senza un tetto sopra la testa. Il valore aggiunto di Lockitron non è presente (soprattutto perché una chiave è piuttosto piccola rispetto a uno smartphone); la parte potenzialmente interessante sta nel rendere possibile remotamente sbloccare la porta. Questo non è uno scenario che accade ogni giorno ... il che è un problema: se il dispositivo non è quello utile, in che modo l'azienda manterrà la galleggiabilità finanziaria?

Ovviamente, Lockitron ottiene automaticamente il potere di aprire tutte le serrature. Promettono che:

  1. non sono cattivi;
  2. non verranno violati.

Entrambe le promesse sono alquanto vuote quando vieni giù. Affermare "Io non sono il male" è ciò che fanno le persone più malvagie; affermare semplicemente che non lo rende intrinsecamente vero (se credi in un altro modo e sei un cittadino statunitense, allora rallegrati! Avrai presto una scelta di scelta tra due candidati non malvagi). Per il non-hacking, beh, tutto dipende da quanto sono competenti i Lockitron e anche da una buona dose di fortuna.

E poi c'è l'intera personalizzazione parte. Lockitron dice che il dispositivo può essere esteso in molti modi, con una ricca API. Quando leggo questo, penso "buchi di sicurezza sfruttabili". Più un sistema è complesso, più sono probabili buchi di sicurezza. Il dispositivo ha già WiFi e Bluetooth, quindi deve contenere una notevole quantità di software. Potrebbe non essere attaccabile come il tuo telefono, ma comunque ...

Sul lato positivo , i sistemi tipo Lockitron sarebbero convenienti per i servizi di emergenza come vigili del fuoco e medici (beh, almeno i medici: l'ascia di un pompiere è straordinariamente efficace nell'ingresso quasi ovunque). Supponendo che ottengano un'autorizzazione di accesso generica, naturalmente (che sarebbe di per sé un rischio per la sicurezza).

    
risposta data 03.10.2012 - 15:34
fonte
3

Qualsiasi soluzione di sicurezza in cui le risorse utente sono controllate da un server centrale è difettosa. Le risorse utente dovrebbero essere controllate solo dall'utente.

Un modo migliore per farlo sarebbe che il telefono fosse in possesso di una chiave segreta crittografata con una password. Il sistema di sicurezza domestica emetterebbe una sfida casuale al telefono tramite NFC che il telefono avrebbe bisogno sia della password che della chiave segreta per rispondere. Ciò darebbe l'autenticazione a due fattori (password = quello che conosci, chiave segreta = quello che hai) e, se fatto correttamente, dovrebbe essere sicuro.

    
risposta data 03.10.2012 - 14:26
fonte
0

Se Lockitron richiede che tutti gli accessi richiedano una connessione ai loro server e ci sia un disastro naturale molto esteso nella tua zona (uragano, terremoto), allora tutte le torri cellulari intorno a te potrebbero essere giù per un po '- ed è un momento terribile essere chiuso fuori da casa o costretto a intromettersi

D'altra parte, se Lockitron consente l'accesso da una serie di credenziali memorizzate nella cache e c'è una porta JTAG funzionante sul tuo telefono (molto probabilmente lo è), non c'è una grossa sfida per qualcuno che la usi per entrare in -password , ecc. non ti farà nulla di buono

    
risposta data 14.10.2012 - 15:17
fonte

Leggi altre domande sui tag

Sicurezza EMV? Com'è possibile che sia sicuro? La crittografia del disco basata su hardware è più sicura di quella basata sul software?