来源:蜘蛛抓取(WebSpider)
时间:2017-09-26 04:41
标签:
怎么修复网站后门漏洞
比特客户端
您的位置:
详解大数据
详解大数据
详解大数据
详解大数据
应用程序安全漏洞已成软件应用大威胁
关键字:安全威胁 漏洞 应用程序
天下没有完事物,软件会有Bug,就跟一般人会说错话、写错字一样,在所难免。然而,随着当前行动应用与技术蓬勃发展,我们对于应用程序与云端服务的依赖程度日渐提升,对于系统的可靠度与软件质量的要求也连带水涨船高。
不论是硬件或硬件的因素,系统只要出一次包,就可能影响成千上万使用者。不过,若是一般的硬设备故障或服务停摆,我们尚且能搭配各种高可用性与备援机制,将受影响的程度降至最低,但其中执行的程序一旦有功能性的失误,甚至有漏洞,想要修正就没那么简单,因为可能要先找到问题所在的程序原始码、提出解决方法、重新发布调整过的程序或安装修补程序,甚至有时必须要先让应用系统脱机,才能套用修正的方式,若是牵涉到端与客户端程序或设定的重新部署,来来回回之间,往往又要耗费许多时间和人力进行。
对于软件质量的判断,通常我们分为功能性与安全性等两大层面,一般应用程序或系统上线之前,多多少少都会检核程序是否符合这两种性质的需求,但比较偏重功能性的验证,因为要判断程序执行时是否能满足需求,相对容易,至于安全性的部份,若开发时没有考虑到功能遭到滥用的可能性,而刻意限缩特定程序执行的条件,之后若被人发现有这样的漏洞,可能会让人乘虚而入。
软件重大安全漏洞越演越烈
对许多IT人员来说,持续关注系统资安弱点、定期执行漏洞修补,已经成为例行公事之一。从年之间,开始有许多恶意软件利用Windows、IE、Outlook Express、Outlook的安全性弱点发动攻击,肆虐全球个人计算机与服务器,像是Code Red、Nimda、Blaster、Sasser等,也是在那段时期,强化了Windows XP更与系统防护,并决定在每月第二周的周二定期发布系统更新。
除了微软,在个人计算机使用率相当高的数字内容格式和Flash在2009年之后,也因为漏洞而遭到攻击,到了2012年、2013年,Java成为新的苦主,2013年1月,美国国土安全部计算机紧急应变小组甚至呼吁使用者,在公司推出稳定Java版本前,应继续停用上的Java功能,然而在2月时,几家知名的网站和IT公司也都纷纷中招,包括推特()、脸书()、和微软都宣布内部计算机因此遭骇的状况。
到了今年4月,提供/TLS加密传输功能的开放源码套件OpenSSL,发布Heartbleed臭虫的重大安全通告,这套应用上相当普及的函式库,在TLS/DTLS 传输安全层的heartbeat(心跳)扩充功能之中,有程序臭虫,若该漏洞遭利用来发动攻击,会造成内存存放外泄,有可能从服务器端外泄到客户端,或者由客户端外泄到服务器端。
受到该漏洞影响的OpenSSL版本,包含1.0.1到1.0.1f,以及1.0.2-beta,而目前有许多和FreeBSD都内建OpenSSL,这些版本的OpenSSL已整合其中,因此Debian、、CentOS、、OpenBSD、FreeBSD及NetBSD当中一些版本,也都遭到波及。此外,因为许多系统与软硬件产品也采用OpenSSL,或是内建整合OpenSSL的软件平台,例如开源的网站服务器平台Apache和nginx,所以牵涉到的范围更广泛。
例如,就连、Amazon的网站服务,以及、Juniper的网络设备都深陷安全漏洞的风暴,还有的平台与管理软件、、MariaDB和PostgreSQL等系统,以及Symantec、McAfee、Kaspersky、F-、Sophos旗下一些资安软件的特定版本,也受到影响。
由上面的例子来看,应用程序的安全漏洞所引发的效应越来越大,而且日益复杂,要在短时间内修复,都需要时间,所牵涉到的软件性质也日益多元化──从一开始针对个人端计算机的微软Windows操作系统、IE浏览器与Office应用程序,以及PDF、Flash及Java,现在许多网站服务器、云端服务运作时所仰赖的重要组件,也被踢爆有软件安全漏洞的问题,除了事后要有完善的机制,尽速亡羊补牢,更重要的是记取教训,做到事前预防,才能够降低漏洞出现的机率,连带地,后续黑客如果想要用漏洞来发动攻击,也会越来越困难。但若要达到这样的目标,从软件还没有释出、正式上线之前的开发过程中,就要采取对应的作法,目前像是微软、Adobe、Cisco等公司,都已经发展或导入了所谓的软件安全开发生命周期(Security Development Lifecycle,SDLC),由于安全性也是软件质量的一部分,因此,通常都会透过测试的方式,在软件正式发布前,执行相关的功能与安全性检验。
行动装置成为市场宠儿,也成为恶意软件横行的新战场
除了个人计算机和服务器端会有应用程序安全漏洞,行动装置的操作系统平台和App也都是由开发人员所写出来的软件,同样不可能做到100%无漏洞,而两个主要平台和iOS,当然也是有心人士锁定的目标。
以市占比例最大的Android装置数量来说,市调分析机构Gartner和IDC均预测今年底将突破10亿个,因为太过普及,所以,在这个平台所发展的恶意、高风险或扰人App也是最多。根据趋势科技全球技术支持与研发中心所发布的《2013年TrendLabs总评》来看,2013年底已累积140万个,单就2013这一年就出现了1百万个新的App威胁,2014年底预估将突破300万个,不过在趋势科技最新公布的《2014年第一季TrendLabs信息安全总评》当中,他们发现相关的App威胁现在就已经突破2百万个。
除了App威胁,过去我们所熟悉的网站、诈骗威胁,行动装置同样会面临,值得注意的是,针对行动装置平台的漏洞攻击也开始增多,例如去年Android平台爆出MasterKey漏洞(CVE-),已经安装的正常App可能在不知情的状况下被偷换成恶意软件;另一个攻击是叫做Backdoor.AndroidOS.Obad的恶意软件,运用类似后门程序与rootkits的手法,透过操作系统漏洞──root与装置管理者的权限,取得整台Android装置的权限;而苹果的行动装置平台iOS6也传出安全漏洞,若或接上黑客所改造、特制的充电座,这个弱点将会授与对方完整存取这个设备的权限。
有些漏洞则可以影响任何行动装置操作系统平台,因为问题出在跟所连接的周边装置有关,例如行动装置搭配的,当中所采用的旧型加密系统有程序臭虫,黑客只需传送SMS简讯到这台装置,即可触发装置错误,进而释出56位长度的安全密钥,而这把密钥可以触发下载恶意的Java Applet,以便散播简讯和位置监控等恶意行为。
到了今年3月,趋势科技发现了一个针对Android 4.0以上版本的系统漏洞,它要是遭到有心人士滥用,可能会造成系统不断重新启动的状态,如此等于让行动装置应提供的各种功能处于失效状态,无法操作、通话。同月,又出现了另一个自定权限漏洞,它让App能够读取其他App所保护的数据,而这可能会导致机密外泄。
iOS和 X今年初也出现安全漏洞CVE-,这是跟SSL/TLS加密联机有关的弱点,攻击者可能撷取或修改联机过程中所传输的数据,问题在于传输时并未验证联机的真实性。若未修补这项漏洞,苹果的行动装置在连上时,有可能因此受到监听及联机挟持。
该漏洞影响的操作系统版本算是不少,包括iOS 6到6.1.4、iOS 7到7.0.5、Mac OS X 10.9和10.9.1,以及Apple TV 6.0和6.0.1。后来,苹果为此陆续发出iOS 7.0.6、Mac OS X 10.9.2和Apple TV6.0.2的安全更新n。
程序代码少了括号,系统安全性竟然就破功?
从上述来看,应用程序的安全漏洞太多了,从个人计算机、服务器,现在连云端服务、行动装置也都遭殃,简直是野火烧不尽,春风吹又生,然而真的每一个问题都无法事先预防吗?不能在软件开发的过程中,就及早发现问题并解决掉吗?
其实这是可以做到的,有的程序臭虫之所以产生,甚至只是因为一些小疏忽所造成,前面提到的iOS和Mac OS X漏洞CVE-,就是典型的例子,一些专家追本溯源后发现,原本的程序代码只是少了一个括号,若加上去,程序运作就安全了。
这个操作系统的安全性弱点很特别,很多人都叫它「goto fail」漏洞,因为,关键在这两种操作系统数据安全组件SecureTransport安全传输功能的sslKeyExchange.c程序代码当中,一支SSLVerifySignedServerKeyExchange函式写错了,里面有两行的goto fail叙述紧接着执行,第一个goto fail是正确的,它对应到if叙述,但第二个goto fail就不是条件式,不论前面的if条件式是否成立,程序代码总是会执行到第二个goto fail,也就是回传err,而且也不会执行sslRawVerify函式。
接下来会发生什么事?Google资深师Adam Langley在他的部落格《ImperialViolet》上,透过〈Apple's SSL/TLS bug〉这篇文章,提出了进一步解释。他认为,这里的err将会包含1个值,因为SHA1更新作业会顺利完成,所以,验证签署的作业永远不会失败。
此外,这个验证签署的作业会检查ServerKey Exchange传输讯息的签名,这会用在DHE和ECDHE的ciphersuites加密演算集,让联机能与临时密钥(ephemeral key)沟通,服务器可以藉由自身凭证的暂时密钥和签署,让客户端知道联机是从这边而来的。然而,如果临时密钥和凭证炼(certificate chain)之间的连结断了,一切的验证和信任关系将会面临崩坏。因为,在这样的环境下,服务器端有可能送出一个正确的凭证炼给客户端,却是以错误的私钥来签署交握,或者根本就不用签署就可验证联机,服务器无法证明它的凭证里面拥有与公钥匹配的私钥。
基本上,这个安全漏洞会影响任何使用SecureTransport的系统,但不包括Chrome和Firefox,因为它们都使用NSS for SSL/TLS,然而,这意义不大,因为更底层的操作系统软件更新机制仍然是用SecureTransport来进行。同时,这个程序臭虫,也会影响任何使用DHE或ECDHE的cipher suites加密算法的站台。
该漏洞倒是不会影响TLS 1.2,因为在当中负责验证ServerKeyExchange讯息的函式是不同的,然而,为了让客户端能接受该讯息,攻击者还是可以自行挑选任何的TLS版本。一旦客户端只启用TLS 1.2,就会解决这个问题,同样地,如果客户端只选择完全以简单的RSA演算集,也就等于没有进行ServerKeyExchange的作业,此时,也可以解决该漏洞。
这类的臭虫一旦出现,要如何侦测出来呢?Adam Langley说,若在苹果的软件开发工具平台Xcode编译这段程序代码时,可以加上-Wall的参数来启用所有警示,可以隐约看见出问题的程序代码段落(即便不是使用2013年发布的GCC 4.8.2或Clang 3.3)。因此,他认为若有更明显的警示,将有助于及时发现这个问题,但这么一来,对于整体程序代码也会产生误报率太高的状况。
相较于每隔一阵子就扑天盖地而来的各种应用程序安全漏洞信息,苹果爆出这个严重危害SSL安全传输功能的操作系统漏洞,虽然只是沧海一粟,乍看之下,它似乎是个离谱的微小错误,却能让网络传输不再安全,同时,这个纰漏可能有许多开发人员就算用人工方式逐行检查,未必能一眼识出,而且,就算透过整合式开发工具,或是程序代码安全检测工具,也不一定能侦测出来。
此外,也幸好有苹果愿意开放部分版本的系统程序代码,还有发掘出该问题的资安专家,外界才有机会更全面地了解这样的问题何以发生,并进行充分的讨论,从而学到教训,不再重蹈覆辙。虽然类似这样的漏洞、甚至更难以发现的漏洞,未来可能还是会出现,但认真研究过这种问题的开发人员,想必将更有机会消弭掉这类漏洞。
除此之外,我们也必须意识到应用程序漏洞遭到滥用的方式,也在转变。
例如,让许多网站管理者都相当头痛的目标式攻击,黑客通常会设法寻找、利用网站的漏洞,以便取得系统控制权,并在站内植入恶意软件,以便感染浏览网站的。
而根据4月发布的最近一期全球网络安全威胁研究报告(Internet Security Threat Report,ISTR),就2013这一整年而言,最常被有心人士利用的网站弱点是SSL与TLS网络安全传输协议的会谈重建程序漏洞(SSL and TLS protocol renogotiation),这几年以来,有不少攻击事件都跟这有关,例如DigiNotar的数字证书外泄、BEAST攻击(Browser Exploit Against SSL/TLS Attack)、SSL会谈重建程序攻击(SSL Renegotiation Attack)、CRIME攻击,以及Lucky 13攻击。
这跟今年爆出的iOS、Mac OS X的SSL漏洞,以及OpenSSL的Heartbleed漏洞陆续被揭露,似乎都有一些关联性,这样的发展趋势,软件开发人员和资安人员需多加留意。
[ 责任编辑:小石潭记 ]
去年,手机江湖里的竞争格局还是…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte挑16款产品12款被成功破解 智能锁让用户放心路还很长
TNW中文站 8月10日报道物联网(IoT)的概念已经出现好长一段时间了。我们知道物联网基本上就是把所有的物品都跟互联网连起来,比如你家的冰箱、洗衣机、烤箱,甚至是垃圾桶。一个又一个的实例证明,尽管联网设备用起来很方便,但不一定安全。实际上,许多制造商对安全问题漠不关心,导致人们对互联产品缺乏信任。智能门锁也不例外。今年Defcon黑客大会上两个不同的演示报告说的很清楚:智能门锁的安全性要跟上其方便性还有很长的一段路要走。来自Merculite Security 的安东尼·罗斯(Anthony Rose)和本·拉姆齐(Ben Ramsey)展示了一些破解智能门锁的技术,他们所使用的工具是价格不到200美元的现成硬件。他们测试了16个来自领先制造商的智能门锁,结果其中12个被成功破解。Quicklock、iBluLock和Plantraco 等公司生产的智能门锁以明文形式传输密码,任何使用蓝牙嗅探器的人都能轻易破解。Lagute、Vians和Ceomate等其他一些公司出品的智能门锁则容易受到重放攻击。这种攻击是在合法用户开锁或者上锁的时候盗取信号,然后在用户离开之后用于解锁。重放攻击已经出现好几十年了,通常被用于破解车库门锁。几十年的老漏洞出现在现代智能门锁身上,这简直让人难以置信。一些厂商,比如August公司,积极修复了其产品的安全漏洞,值得敬佩。但是话说回来,上面的测试结果无可争议。16件产品中有12件存在极容易受到攻击的漏洞,让我们怎样也不能放心使用智能门锁。(编译/翼飞)【美国The Next Web作品的中文相关权益归腾讯公司独家所有。未经授权,不得转载、摘编等。】
[责任编辑:alonliu]
您认为这篇文章与"新一网(08008.HK)"相关度高吗?
Copyright & 1998 - 2017 Tencent. All Rights Reserved
还能输入140字想代替钥匙的智能锁成了黑客的靶子,而且被攻破了_智能_好奇心日报
社交账号登录
新用户注册 上传头像拖拽或者缩放虚线框,生成自己满意的头像预览 忘记密码
设置新密码
智能想代替钥匙的智能锁成了黑客的靶子,而且被攻破了
在今年的黑客大会 DEFCON 上,这些蓝牙安全锁成了黑客炫技的靶子
不用钥匙、不用按键,直接在手机应用里点两下屏幕就能开锁。这是一众智能锁的卖点。
不过在世界最大的年度黑客大会 DEF CON 上,一名叫 的电气工程师和同伴攻破了 12 款智能锁,占所测 16 款智能锁中的 3/4。
被攻破的智能锁包括 Quicklock、Okidokey、Mesh Motion
等品牌。其中 在国内也有商家在卖。
在黑客公布的被黑名单中,有四种锁是通过明文将蓝牙安全锁的密码传给手机。这让任何一个有蓝牙嗅探器的人都能在数据传输的过程中窃取到安全锁的密码。
在这四种锁里,Quicklock 的两款智能锁 Doorlock 和 Padlock 会明文传送两次密码。这让黑客不仅能弄清楚家门的密码是什么,还能修改密码。
这些锁的主要问题出在蓝牙通讯和将安全锁与对应的手机 App 配对的过程中。
蓝牙安全锁
不过也有四种智能锁逃过了他们的攻击。其中包括 Kwikset 和 August 的蓝牙智能锁。由于这些锁都采用了加密手段,双因素认证的密码系统,并因为没有在其软件中包含硬编码密码,因此他们最终没有黑进这些智能锁。
Rose 称,他们在发现漏洞之后已经联系了这 12 家厂商,但结果是它们都不太关心这些问题。唯一收到的一家回应是“我们知道有这个问题,但是我们不打算修复它。”
蓝牙智能锁只是 6 号当天的 上,黑客们炫技的一小部分。在当天的大会上,来自世界各地 15000 名黑客展示了各种各样黑进物联网设备的方法。
这些设备不止有智能锁,还有恒温器、闭路电视摄像机,甚至有太阳能电池板。大会上还有人黑进一款性爱玩具,窃取人们使用它的相关数据。
通过利用这些物联网设备,网络罪犯们可以有机会攻击与之相连的周边网络,掌控更多数据,发起阻断服务攻击()。全球安全软件公司趋势科技的欧洲技术总管称,现在有越来越多的黑客开始注意到这些物联网设备,因为比起传统的联网电脑,这些设备更容易被找到和控制。
喜欢这篇文章?去 App 商店搜
,每天看点不一样的。
没有更多啦
登录查看你的好奇心指数
根据你的好奇心指数推荐
好奇心微信公众号爱丽和故事
画江湖之杯莫停
汪汪队立大功S2
幸福的错觉
反黑行动组
俺爹是卧底
暴走大事件: 第5季
小猪佩奇玩具秀
灵动蹦蹦兔
您的列表中暂时没有内容
暴风无线客户端
随时随地看大片摇光智能深度解读智能锁三组安全关键词
作者:佚名
分类 : 新闻中心
最近一年,智能门锁亮相各类智能家居展、安博会等行业类展会,关注热度很高,各品牌都卖力地宣传自己的亮点和新功能。创新是好事情,可以促进行业繁荣,给消费者带来更好的使用价值和用户体验。但是门锁毕竟是一个产品,事关家庭的人身和财产安全,作为消费者选购的时候也需要认真区分下哪些是厂家宣传的噱头,哪些是真正实用的功能,哪些又是有安全隐患的功能,家庭安全马虎不得须认真对待。
现在家庭使用的门锁主要有三种类型,最常见的是机械锁,日常用钥匙开锁;第二类是锁,是一种电子锁,不用携带钥匙,用提前录入的指纹或设置的密码开门;第三类就是智能锁,通常具有联网功能,提供App进行远程权限管理,家门被撬时会有电话预警。
指纹密码锁跟智能锁的最明显区别在于是否提供便捷的远程管理功能,在市场上的售价也相差不大,集中在元左右。毫无疑问在移动互联时代智能锁的便利程度会更高,但也有用户质疑智能锁联网之后的安全性。通过跟摇光智能创始人余绵梓的深入交流记者了解到,门锁互联的安全性是完全可以做到的,安不安全主要取决于厂家安全策略选择。下面就来普及一下智能门锁相关的三组安全关键词。
远程开锁VS禁止远程开锁
为了解决没带钥匙、送钥匙的问题,一些智能锁厂家设计了远程开锁功能并大力宣传。这个功能虽然很抓眼球,乍一想很有需求,但是门锁只要具有远程开锁功能,就有被攻击的安全风险,尽管理论上可以做到无安全风险,但到目前为止,没有任何一款软件是完全没有漏洞的。这种机制黑客攻击一旦成功,所有安装的门锁都可能会被远程打开,安全风险巨大。而且“黑客坐在家里从远程打开门锁”和“小偷带着工具去现场撬门”相比,所冒的风险是完全不一样的,更方便了“有文化”的坏人。
因此,摇光智能开发的智能锁坚决禁止远程开锁功能,但是也为没带钥匙的情况提供了一种安全的解决——一次性密码。所谓的一次性密码是指当有朋友已经到门口而主人又不在家时,主人可以通过APP以短信方式发送一个一次性密码给对方,此密码输入一次后自动失效,且有时效限制,过期也会自动失效。当然上述的一次性密码必须是“离线密码”,即此密码在门锁不联网时就可以实现。关于为什么必须是离线密码就是下一组我们要讲的关键词。
在线密码VS离线密码
远程发送密码是智能锁厂家解决没带钥匙、送钥匙问题的另一解决方案,可以选择发送一次性密码,或者限定一定时间段的限时密码。这种密码如果使用“在线密码”机制,本质上有和"远程开锁"相当的安全隐患。门锁厂家的一旦被攻击者控制,就可以把所有的这个品牌的门锁都设置成最简单一致的密码,比如"123456",且一直有效,通过在线机制跟门锁进行实时同步,这样所有安装的这个厂家的门锁用这个通用密码打开。这种系统性风险对家庭来说是不可以接受的。
但有些场合的智能锁必须采用这种策略,需要由智能锁厂家打开智能锁,比如摩拜(mobike)的共享自行车可能会采取这种策略。摩拜(mobike)共享自行车智能锁的安全属性不高,被破解和攻击也只会影响到自行车本身,最坏的结果就是可以免费骑车,不会涉及到用户的财产和人身安全,因此这种机制是可行的。但是如果用到个人家庭,安全考虑是不足够的。
摇光智能“离线密码”的实现机制是:在门锁注册时,门锁和APP/会协商好一个算法种子和对应的算法。之后在任意时刻,如果要使用密码,门锁和APP/服务器系统都会按注册时协商好的算法种子和算法进行计算,因此即使在门锁不联网时,也可以通过APP给对方发送一次性密码,门锁是可以识别其身份的。反之,如果发送密码时,需要门锁也是联网的,那就只能称为“在线密码”。
现在市场上绝大部分的智能锁厂家都采用了“在线密码”机制,这种机制处理起来很简单,因为App、服务器以及门锁三者之间可以实时同步,避免掉了很多复杂的身份验证过程。这种机制用在长短租公寓、酒店等租赁领域可能问题不大,因为大部分集中式公寓和酒店都配备有前台值班和楼道监控,即使发生门锁被打开的情况,也会比较容易发现。当然,一旦发生因智能门锁被破解而导致的安全事故,对公寓和酒店的品牌形象也会有一定程度的影响。
摇光智能的家庭用和公寓用智能锁都采用了“离线密码”机制,从机制设计的源头上就杜绝了有可能被黑客攻击的安全隐患。尽管由于离线机制的选择,所需要处理的流程和场景多出了不止一倍,但是门锁是一个安全产品,一旦发生“万一情况”损失巨大。做一个对用户负责任的安全产品是摇光智能的选择。
密钥于服务器VS密钥不存储于服务器
一些智能锁厂家图省事会直接把用户的开锁密钥存储于服务器上,这种机制一旦发生服务器被攻击,就有泄密风险,另一方面也有厂家工作人员监守自盗风险。
应该来说,有软件安全方面技术实力的厂家都不会采用前一种方案,厂家不会有意想通过这套机制去打开用户门锁获利,反而可能由于一些意外情况带来意想不到的严重后果,比如数据被内部人员泄露或者被黑客攻击。
摇光智能采用的是不在自己的服务器上存储用户密钥的机制,无论是公司内部人还是黑客,都无法获取密钥打开门锁。当然这种安全机制也就要求厂家必须能闭环解决用户忘记密码、丢失手机等引起的一系列身份验证问题,解决好这些问题是比较复杂的。
摇光智能也特别提醒用户,不能简单地相信厂家所宣传的智能门锁的一些噱头功能,家用用门锁首要保证的是安全。要实现完整的安全策略,背后还需要大量技术手段予以保证,厂家的技术实力还是很重要的。这三组安全关键词基本上可以对市场上的智能锁厂家做一个划分,但肯定不是全部,智能锁要做到安全需要考虑的细节问题还有很多。
摇光智能的技术团队拥有十多年软硬件开发经验,拥有清华、北航、上海交大等高校高知背景,内部设有专门的安全算法设计师,在产品安全策略的设计和选择上都力求严谨。摇光智能是创始团队的第二次创业,在的尘嚣中怀抱着一颗踏踏实实做产品的心。门锁虽是一个硬件产品,看上去没有温度,但对用户来说却是一道心理上的安全屏障。通过科技创新,能够让用户能够随时随地获知家的,随心随意感受科技带来的便利和贴心,是摇光智能追求的目标。摇光智能门锁,懂安全更懂你。
[ 责任编辑:凤城 ]
比特网 10:48:12
带着朋友和机器人上月亮散步
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
