電子鎖會被駭嗎?WiFi 資安迷思破解與 3 招防護實戰教學
電子鎖採 AES-128/256 加密,真實資安弱點是弱密碼與路由器,開啟雙重認證加訪客網路即可有效防護。
以上摘要由生活鎖事整理,技術審核:陳師傅
在門市諮詢時,常有客戶拿著網路上流傳的影片詢問:「電子鎖是不是拿個小黑盒靠近就會開了?」「駭客可以遠端把一整棟樓的門都打開,是真的嗎?」
生活鎖事安裝團隊必須誠實說明:只要是連網設備,就沒有 100% 的絕對安全。但這是否意味著電子鎖比傳統鎖危險?答案恰恰相反。這篇文章將一層層拆解電子鎖的資安架構,告訴你哪些是真實風險,哪些只是都市傳說。
電子鎖資安威脅地圖:5 個攻擊環節
一個完整的 WiFi 電子鎖系統包含鎖本體、通訊協定、手機 APP、雲端伺服器與家中 WiFi 路由器 5 個環節,絕大多數「被駭」案例發生在雲端或使用者的弱密碼上,而非電影般的門前破解。生活鎖事安裝團隊從實務案例分析,超過 90% 的資安事件與使用者行為有關。
韌體、晶片、除錯接口(Debug Port)。合格品牌出廠前會封閉除錯接口。
藍牙(BLE)、WiFi 2.4GHz、Zigbee。主流品牌採 AES-128/256 加密傳輸。
使用者帳號密碼管理。弱密碼是最常見的突破點。
廠商負責轉發指令的主機。API 權限設定不當可能被攻擊者繞過 APP 直接下指令。
路由器使用預設密碼或舊版加密(WEP),會讓整個家庭網路成為突破口。
迷思破解:小黑盒與 WiFi 駭客的真相
2018 年後上市的合格電子鎖已全面加裝穩壓模組與防電磁干擾遮蔽,小黑盒(特斯拉線圈)無法打開鎖舌;WiFi 通訊則採用與網路銀行同等級的 AES-128/256 加密,單純攔截訊號無法解鎖。生活鎖事販售的所有型號均通過此項測試。
迷思 1:特斯拉線圈(小黑盒)秒開鎖?
這是 2018 年前的歷史事件。早期劣質電子鎖因高壓脈衝干擾電路重啟而誤開,但現在所有通過 CNS 認證的電子鎖都已強制加裝穩壓模組與防電磁干擾遮蔽。現在用小黑盒去電,頂多鎖體當機重啟或鍵盤亂跳,鎖舌不會彈開。
迷思 2:連上 WiFi 就能被駭客遠端開門?
現今主流品牌(Philips、Yale 等)在通訊上採用 AES-128/256 加密與 TLS 傳輸協定,與網路銀行同等級。除非攻擊者能破解銀行加密系統,否則很難單純透過攔截 WiFi 訊號來開門。實際上,駭客攻擊一把家用電子鎖的成本遠高於傳統破門,這在犯罪經濟學上完全不合理。
真實風險:你需要擔心的 3 件事
比起好萊塢式的駭客攻擊,電子鎖的真實資安威脅來自雲端伺服器漏洞、使用者弱密碼與不安全的家用路由器這三個環節。生活鎖事安裝團隊建議在選鎖時,品牌的雲端安全能力應列為重要考量因素。
1. 雲端伺服器風險(一次打一票)
WiFi 鎖的所有遠端指令都經過廠商伺服器。如果雲端架構有漏洞(如 API 權限設定不當),攻擊者理論上可繞過 APP 直接下指令。選擇有規模、有專門資安團隊的大品牌,是降低此風險的關鍵。生活鎖事合作的品牌(Philips、Yale 等)均有定期資安稽核與韌體更新機制。
2. 帳號密碼太弱(撞庫攻擊)
這是最常見的入侵方式。如果電子鎖 APP 使用與其他網站相同的密碼(如 123456 或生日),一旦其他網站資料外洩,攻擊者即可拿同一組帳密登入 APP 開門。解決方案是啟用雙重認證(2FA),就算密碼被竊,沒有手機驗證碼也進不去。
3. 家中路由器是破口
如果 WiFi 路由器仍使用預設密碼(admin/admin)或舊版 WEP 加密,駭客入侵家庭網路後,電子鎖就可能成為攻擊目標。建議將路由器加密升級至 WPA3,並設定獨立的 IoT 訪客網路隔離智慧設備。
「現實世界中,小偷要進你家,99% 會選擇撬窗戶或趁你忘記鎖門,而不是拿筆電在門口破解 AES 加密。電子鎖的自動上鎖功能,反而解決了『忘記鎖門』這個最大的安全漏洞。」
——生活鎖事安裝團隊
實戰教學:3 招強化電子鎖資安防護
開啟雙重認證、使用訪客網路隔離 IoT 設備、定期更新韌體——這 3 招可阻擋超過 95% 的已知攻擊向量。生活鎖事安裝團隊在安裝完成後,會主動協助客戶完成前兩項設定。
最有效的一招。確保 APP 登入需要手機簡訊或 Email 驗證碼,就算密碼外洩,攻擊者仍無法登入。設定路徑通常在 APP → 設定 → 安全性 → 雙重認證。
如果路由器支援,建立一個獨立的 IoT 專用 WiFi 給電子鎖連線,與電腦和手機網路隔離。即使鎖被攻擊,也不會波及家中其他設備的資料安全。
APP 跳出更新通知時請立即執行,通常代表廠商修補了已知安全漏洞。更新過程約 3–5 分鐘,期間門鎖仍可正常使用指紋與密碼開鎖。