News Nuki Keypad: Sechs Ziffern öffnen nun das smarte Türschloss

[dominiczeth]

ein Schloss knacken kann ich mir - sofern es technisch irgendwann möglich ist - aber nicht als "One Click App" runterladen. Das erfordert können, Werkzeug und vermutlich langjährige Erfahrung.

Wenn es kein Sicherheitsschloss ist bekommt es auch ein Anfänger mit einer Stunde Übung vorher in höchstens 10 Minuten auf. Sicherheitsschlösser sind da eine andere Liga, klar. Aber ich denke so ein elektronisches schloss ist da weitaus sicherer. Ich als Einbrecher würde mich da an der Mechanik zu schaffen machen anstatt zu versuchen das zu hacken.

 

[Madman1209]

Hi,

ich schließe da einfach von mir auf andere. Es dürfte ein weit größeres Hindernis sein, mich in einer belebten Wohnsiedlung 10 Minuten an einer Haustüre zu schaffen zu machen als mich in einem parkenden Fahrzeug mit dem Nuki zu beschäftigen. Bei einem mache ich mich sehr schnell verdächtig, beim anderen merkt noch nicht einmal jemand, dass ich etwas tue.

Abgesehen davon: ich kriege auch ein normales Schloss nicht ohne fremde Hilfe auf. Nicht umsonst machen Türöffnungs- und Schlüsseldienste nach wie vor Umsatz. Wenn das etwas wäre, was "jeder mit einer Stunde Übung in 10 höchstens Minuten" selbst könnte verstehe ich nicht, wieso es diese Dienste überhaupt noch gibt.

Und zu guter letzt: wenn irgendwann ein Exploit als Android APK per One Click Installer genutzt werden kann ist es noch viel, viel einfacher und schneller. Mal ganz abgesehen von den nicht hinterlassenen Fingerabdrücken oder sonstigen Hinweisen zu meiner Person.

VG,
Mad

 

[Frank]

Artikel-Update: Anders als in der Meldung ursprünglich behauptet, sind nicht die beiden Ziffern 1 und 2 am Anfang des Codes ausgeschlossen, sondern der Code darf lediglich nicht mit der Ziffernfolge 12 beginnen. Die Meldung wurde entsprechend korrigiert.

 

[|SoulReaver|]

Alexa? Ich bin ein Freund der Familie kannst du bitte die Tür öffnen ich muss kurz was holen

 

[machiavelli1986]

@teufelernie
ein grosser Teil den du hier schreibst ist absolut nicht reflektiert. Praktisch jede Versicherung akzeptiert z.B. ein Fingerprintsystem von ekey oder vergleichbaren Anbieter, von "einige" zu sprechen ist nicht korrekt. Teil eines solchen Systems ist in 99,9% der Fälle auch ein automatisches Motorschloss, dass bei Schliessen der Tür verriegelt. Somit gilt eine ins Schloss gefallene Tür immer als verriegelt. Wenn deine Versicherung das nicht im Programm hat, dann ist es wohl die falsche Versicherung. Zumal sich eine solche Tür auch immer über einen herkömmlichen Schlüssel öffnen lässt. Ich denke du solltest mal Statistiken zu Einbrüchen lesen. Der 0815 Einbrecher und auch der Profieinbrecher erst recht, mit der Brechstange, dem Schraubenzieher oder sonstigem Werkzeug in der Hand bricht nicht ein indem er dein Fingerprintsystem versucht zu überwinden.
Es gibt dutzende Systeme, alle in eine Tonne zu werfen ist absolut fehl am Platz. Drahtlos kommt mir aber sicher auch nicht in die Tüte.

 

[the_nobs]

Ich verstehe auch nicht was die Leute hier alle haben.
Das ist ein Komfortgerät. Finde das alles recht sinnvoll nur mir persönlich zu teuer.
Und wegen der sicerheit von normalen Schlössern. Bei uns in der Altbauwohnung haben sie Schlößer mit magnetschlussel verbaut. Super Sicher, aber mit einem Brecheisen kriegst die Tür auch auf, Wenn du geschickt bist, sogar ohne auffällige Spuren zu hinterlassen.

 

[cruse]

Hi,

ein Schloss knacken kann ich mir - sofern es technisch irgendwann möglich ist - aber nicht als "One Click App" runterladen. Das erfordert können, Werkzeug und vermutlich langjährige Erfahrung. Eine "Nuki Hack APK" runterladen und installieren dürfte da weit, weit einfacher sein.

Abgesehen davon: um ein Sschloss zu knacken muss ich physisch an der Türe stehen. Für einen Hack nicht. Das ist ein Unterschied bzgl. der Abschreckung.

Versteht mich nicht falsch, Technik in allen Ehren, und die Idee eines elektronisch steuerbaren Türschlosses ist ja auch nicht neu. Aber wenn ich mit Schlüsseln bzw. Passwörtern arbeite ist diese Art von Vorgabe einfach ein Zeichen dafür, dass ich mich mit der Materie per se erstmal nicht auskenne.

Warum nicht einfach ein "klassisches" Transponder System? Extrem große Schlüssellängen möglich, Freischaltung zu bestimmten Zeiten möglich, keine Codeeingabe am Transponder erforderlich. Einziger Haken: bei Verlusst muss der Transponder gesperrt werden.

VG,
Mad

Und am Ende trete ich mal fest dagegen oder nehme das Fenster 2m weiter....

Die Sicherheit ist vollkommen ausreichend. Der Einbrecher beschäftigt sich nur wenige Minuten damit. Jede falsche keyangabe hab ich als Nachricht auf dem Telefon...
Außerdem gibt es ganz andere Schwachstellen die man schneller überwindet.

 

[Madman1209]

Hi,

auch bei einem Fenster - das du vermutlich entweder einwirfst oder anderweitig mechanisch öffnest - dürfte das in einem belebten Wohngebiet deutlich mehr Aufsehen erregen als jemand, der auf einen Knopf drückt und durch die Tür geht, als wäre nichts gewesen, denkst du nicht?

Du hast die falschen Eingaben solange auf dem Telefon wie ich dein System nicht kompromittiere. Und davon darfst du erstmal ausgehen.

VG,
Mad

 

[the_nobs]

Hi,
auch bei einem Fenster - das du vermutlich entweder einwirfst oder anderweitig mechanisch öffnest - dürfte das in einem belebten Wohngebiet deutlich mehr Aufsehen erregen als jemand, der auf einen Knopf drückt und durch die Tür geht, als wäre nichts gewesen, denkst du nicht?
Du hast die falschen Eingaben solange auf dem Telefon wie ich dein System nicht kompromittiere. Und davon darfst du erstmal ausgehen.

Ein Geübter hat ein normales Zylinderschloß in sekunden geknackt. als Beobachter glaubst du das er Probleme hat mit dem Schlussel.
Und das ist auch alles egal. Die Einbrecher untersuchen nicht zuerst dein Schloß und überlgen ob sie einbrechen sollen. Sondern die beobachten ob jemand zuhause ist oder nicht (inklusive Nachbarn) und dann brechen sie ein. Wenn Niemand da ist, ist auch einschlagen von Fenstern kein wirkliches Problem.

Bei uns im Haus habens in 2 Wohnungen eingebrochen während ich auch zuhause war.
Die Türen wurden mit Gewalt aufgebrochen. Niemand hat was gehört (mich eingeschlossen)

 

[Madman1209]

Hi,

ok, nach der Logik brauche ich aber meine Haustüre grundsätzlich nicht absperren - wenn es scheinbar eh egal ist, weil jedes Hindernis in Sekunden umgangen wird.

VG,
Mad

 

[gaelic]

@Madman1209 du übertreibst in zwei verschiedene Richtungen.

- Einerseits schreibst du von einem quasi "One App - One Click" Hacken dieses Schlosses vom Auto aus. Meines Wissens ist das noch nicht passiert, und man kann davon ausgehen daß sich heise, CB, golem & Co darauf stürzen würden
- Anderseits übertreibst du dann daß das Absperren eh nichts bringt. Hier ist deine Logik verquer, ncht die der anderen.

Das größte Problem welches ich bei diesem Produkt sehe, und es mit anderen Codetastern gemein hat: abgenützte Taster und damit die erhebliche Reduktion der Kombinationen.

 

[Madman1209]

Hi,

es geht darum, dass die One-Click-Hacks mit einer solchen Lösung offensichtlich wahrscheinlicher sind als mit einem normalen Schloss. Dort ist sowas nämlich nicht möglich.

Die Wahrscheinlichkeit steigt umso mehr, wenn ein Hersteller durch seine Handlungen und seine Aussagen demonstriert, dass es mit wirklichem Krypto-Know-How nicht besonders weit her ist.

Die Schlüsselmenge derartig einzuschränken grenzt schon massiv an Inkompetenz, die "Reset" Codes auf den Servern des Herstellers runden das Gesamtbild ab.

Und Punkt zwei habe nicht ich aufgebracht, sonder der Vorposter:

Ein Geübter hat ein normales Zylinderschloß in sekunden geknackt. als Beobachter glaubst du das er Probleme hat mit dem Schlussel.
Und das ist auch alles egal. Die Einbrecher untersuchen nicht zuerst dein Schloß und überlgen ob sie einbrechen sollen. Sondern die beobachten ob jemand zuhause ist oder nicht (inklusive Nachbarn) und dann brechen sie ein. Wenn Niemand da ist, ist auch einschlagen von Fenstern kein wirkliches Problem.

hier steht implizit, dass weder A noch B einen wirklichen Schutz bieten, genau das habe ich paraphrasiert. Wende dich bitte an den Absender, nicht an den Überbringer der Nachricht.

VG,
Mad

 

[Blutschlumpf]

Ich glaub ich häng mir so ein Ziffernpad an die Tür, nur so als Ablenkung fürs richtige Schloss.
Aber für richtig: nope, seitdem ich den DHL Paketkasten habe, nehme ich elektronische Schließungen mit Batterie nicht mehr ernst, da prinzipbedingt zu fehleranfällig.
Und wenn ich den Schlüssel mitnehmen muss weil ich dem Schloss nicht vertraue, dann habe ich imho nichts gewonnen.

Zum Sicherheit:
Realistisch betrachtet wird ein normaler Einbrecher weder das physikalische Schloss noch das elektronische knacken, sondern ganz banal mit dem Brecheisen Tür oder Fenster aufhebeln.
Allerdings hätte ich bei den Funkvarinten auch ein wenig bedenken, dass das irgendwann wie beim Auto abläuft, sprich entweder sind die total nutzlos und mit dem passenden Gerät sofort offen oder jemand baut nen extender, der das Signal vom "Schlüssel" abfängt und dann am Schloss sendet.

Zum Preis:
Ich hab mir vor ein paar Wochen ne Schließung für 3 Türen im Fachhandel zusammenstellen lassen.
Die kleinste Variante mit Schlüsselkarte, Wendeschließung und Gefahrenfunktion lag da schon bei über 200 Euro, also ca. 70 pro Zylinder.
Und der Kerl fing dann an von Keso und was weiß ich für Zieh-und Schlagfunktionen zu schwärmen, da lag der Preis dann nachher bei über 200 Euro pro Zylinder.
Von daher finde ich den preis für so ein Teil hier (im Test stand was von 300 Euro fürs Schloss selber) jetzt im Rahmen.

 

[the_nobs]

Hi,
es geht darum, dass die One-Click-Hacks mit einer solchen Lösung offensichtlich wahrscheinlicher sind als mit einem normalen Schloss. Dort ist sowas nämlich nicht möglich.

Die Wahrscheinlichkeit steigt umso mehr, wenn ein Hersteller durch seine Handlungen und seine Aussagen demonstriert, dass es mit wirklichem Krypto-Know-How nicht besonders weit her ist.
Die Schlüsselmenge derartig einzuschränken grenzt schon massiv an Inkompetenz, die "Reset" Codes auf den Servern des Herstellers runden das Gesamtbild ab.

die schlüsselmenge ist hier nicht so wichtig. Weil das ja keine RSA/AES key ist wo jemand beliebig lange probieren kann, sondern ein physikalisches Schloss. D.h. er braucht Physikalisch Zugang bzw. mus sin der nähe sein (einige Meter).
Da gehts nicht um "kryptographische" Sicherheit. Bei den Billigen mechanischen schlössern hast du auch nur ein paar hundert bis tausende mögliche Schlüssel. Erst bei den teurern Varianten kommst du zu hundertausenden oder millionen.
Und schlussendlich, auch wenn es solch eine App gibt, ist die auch nicht sooo leicht zu kriegen. der Typische EInbrecher ist kein "IT Profi"! sonst währe er ja net Einbrecher geworden sondern würde sein Geld anders "verdienen" bezüglich Dietrichsets zum Schloßknacken.
Die gibts sogar auf Amazon inkl. Übungsset

Hi,
Und Punkt zwei habe nicht ich aufgebracht, sonder der Vorposter:
hier steht implizit, dass weder A noch B einen wirklichen Schutz bieten, genau das habe ich paraphrasiert. Wende dich bitte an den Absender, nicht an den Überbringer der Nachricht.

Da du mich zitierst, zur Klarstellung
Einfache schlösser Helfen gegen Diebstahl, D.h. jemand kriegt mit das du nicht versperrt hast und geht einfach rein.
Ansonsten kannst du nur den Einbruch "Hinauszögern". Worst Case deine Haus steht alleine auf einer Waldlichtung, da haben die Einbrecher stunden zeit rein zu kommen. Da ist zielmich scheiß egal was du verbaut hast.
Einer Wohnung/Haus gilt immer die "Gesamtsicherheit" Ich kenne dein Wohnsituation nicht. aber bin mir ziemlich sicher das so ein Nuki Keypad nicht der Schwächste Teil gegenüber Einbrecher ist.

 

[Madman1209]

Hi,

wieso sollte die kryptographische Masse bei einer solchen Verschlüsselung keine Rolle spielen? Klar, es ist einfacher, die 4 PIN Stellen der EC-Karte eines Lottogewinners zu erraten als selber im Lotto zu gewinnen. Aber Erfolg habe ich doch deswegen nicht, weil die Bank und das System dahinter als "sicher" anzusehen sind. Wenn der EC Automat mich beliebig oft probieren lässt und ich die Kommunikation mit dem Bankserver (und das ist das eigentliche Problem) unterbinden kann dann knacke ich das. Das eigentlich Problem ist diese Absicherung - bei einer Bank tust du dich da massiv schwer um nicht zu sagen: so gut wie unmöglich, das auszuhebeln.

Bei einem Türschloss? Kann das durchaus anders sein. Solange diese Dinger mit z.B. einer FritzBox sprechen und ich mich da reinklemme - was es ja nun auch nicht erst seit gestern gibt - halte ich es für durchaus möglich, dass das System erstmal gar nichts irgendwo hin schickt. Und dann kann ich mit dem Knacken munter drauf los machen. Fällt niemandem auf.

Der Rest ist sicherlich alles korrekt. Trotzdem: wie viele Leute kennst du oder vermutest du in der Menge der statistischen Bürgerschaft, die es schaffen, ein konventionelles Schloss zu knacken? Und wie viele davon haben genug kriminelle Energie, sich z.B. tagsüber in einem Wohngebiet an eine Tür zu knien und da dran rumzufummeln? Ich kenne niemanden.

Von daher: mag sein, dass man auch normale Schlösser leicht knacken kann und mag sein, dass dieses hier bisher nicht geknackt ist. Aber die Möglichkeiten sind hier ungleich größer und der Aufwand wenn das erste Schloss geknact wurde ist deutlich kleiner, das sagt einem der Menschenverstand bzw. das Fachwissen, wenn es um Verschlüsselung und Netzwerksicherheit geht. Und da tun nun mal reduzierte Schlüsselmengen und derlei Einschränkungen ihr Übriges, um mich am Fachwissen des Unternehmens massiv zweifeln zu lassen.

VG,
Mad

 

[the_nobs]

Hi,
Bei einem Türschloss? Kann das durchaus anders sein. Solange diese Dinger mit z.B. einer FritzBox sprechen und ich mich da reinklemme - was es ja nun auch nicht erst seit gestern gibt - halte ich es für durchaus möglich, dass das System erstmal gar nichts irgendwo hin schickt. Und dann kann ich mit dem Knacken munter drauf los machen. Fällt niemandem auf.

Nope da bist falsch, die "Sicherheit" ist im Schloß. Keine Ahnung wie es im Detail implementiert ist, aber ich würde z.B. nur einen Entsperrvorgang alle 10-20 sekunden erlauben. Reicht locker für sinnvolle Anwender und beim Brute force Angriff brauchst schon fast 3h für 1000 versuche!
Weiters würde es z.B. sinn machen überhaupt keine Eingabe mehr zu erlauben wenn z.B. 30 mal ein falscher Code eingegeben wurde. Dann ist das wie "gestohlen" und Entsperrung über keypad wird nicht mehr erlaubt.
Das geht weil wie schon gesagt der Keypad ja nur ein "UserInterface" ist.
Und bei der Verschlüsselung im Netz werden sie höffentlich andere verfahren nutzen als ein 5-6 stelligen PIN.

Der Rest ist sicherlich alles korrekt. Trotzdem: wie viele Leute kennst du oder vermutest du in der Menge der statistischen Bürgerschaft, die es schaffen, ein konventionelles Schloss zu knacken? Und wie viele davon haben genug kriminelle Energie, sich z.B. tagsüber in einem Wohngebiet an eine Tür zu knien und da dran rumzufummeln? Ich kenne niemanden.

Das ist ziemlich einfach: 2017 gab es ~15000 Tatverdächtige Einbrecher in Deutschland (bei ~120k Fälle)
Bin mir zu 99,9% sicher das Keiner dieser Tatverdächtigen einen Computer zum öffnen verwendet hat, sondern die haben alle entweder schloß geknackt oder sind sonstwie reingekommen

Von daher: mag sein, dass man auch normale Schlösser leicht knacken kann und mag sein, dass dieses hier bisher nicht geknackt ist. Aber die Möglichkeiten sind hier ungleich größer und der Aufwand wenn das erste Schloss geknact wurde ist deutlich kleiner, das sagt einem der Menschenverstand bzw. das Fachwissen, wenn es um Verschlüsselung und Netzwerksicherheit geht. Und da tun nun mal reduzierte Schlüsselmengen und derlei Einschränkungen ihr Übriges, um mich am Fachwissen des Unternehmens massiv zweifeln zu lassen.

Und nochmal die reduzierte Schlüsselmenge ist hier ziemlich Egal weil es um den Enduser geht. Was nützt dir eine vollständige tastatur wenn dann die Leute ihren Namen für die zugangsberechtigung benutzen!

Und zum schluss
Lese dir den Artikel durch für welche Szenarien sie sich das vorgestellt haben. Da steht nirgendwo "zum Verschliessen deines Safes mit 100kg Gold" sondern das ein Pfleger(in) zutritt hat oder das Gäste (AirBnB) zugang gegeben wird. Lauter Szenarien wo ein Einbruch sowieso unwahrscheinlich bzw. sinnlos ist.

 

[Madman1209]

Hi,

ich will auch keine "vollständige Tastatur", habe ich auch nirgends geschrieben. Einfach einen Transponder, der einmalig gepairt werden muss, der ein richtiges, langes, sicheres Passwort nutzt. Fertig. Geht genauso günstig, kann ich genauso remote entsperren / sperren / Verlust vermerken. Niemand braucht ein Passwort, keine kleine Schlüsselmenge. Deutlich einfacher.

Wodurch bei "Pflegerin hat Zugriff" oder "AirBnB" jetzt plötzlich der Einbruch unwahrscheinlich oder sinnlos wird erschließt sich mir nicht.

Ich lese immer nur "Keine Ahnung wie es im Detail implementiert ist", "würde es z.B. sinn machen", "werden sie höffentlich andere verfahren nutzen" - das sind mir zu viele Konjunktive und Mutmaßungen.

Ist völlig ok, wenn du sowas nutzen möchtest. Ich schreibe niemandem vor, was er zu tun oder zu lassen hat. Aber egal wo die Sicherheit ist - keine Ahnung was es genau heißen soll, die "Sicherheit" ist im Schloß - die Schlüsselmenge künstlich zu reduzieren ist nie, in keinem Fall, eine gute Idee. Schon allein die Argumentation mit den Geburtsdaten zeigt mir, dass da nicht zu Ende gedacht wurde.

Technik ist und bleibt Technik und Realität, Mathe und Physik können die Jungs und Mädels nun mal nicht austricksen. Belassen wir es bitte dabei, es wird müßig das immer zu wiederholen. Wie gesagt: schön wenn es dir gefällt, freut mich (kein Sarkasmus, völlig ernst gemeint), mein ist es nicht, deins vielleicht schon - jedem das Seine!

VG,
Mad

 

[the_nobs]

ich will auch keine "vollständige Tastatur", habe ich auch nirgends geschrieben. Einfach einen Transponder, der einmalig gepairt werden muss, der ein richtiges, langes, sicheres Passwort nutzt. Fertig. Geht genauso günstig, kann ich genauso remote entsperren / sperren / Verlust vermerken. Niemand braucht ein Passwort, keine kleine Schlüsselmenge. Deutlich einfacher.

Ganz verstehe ich den Einwand nicht, hast du den Artikel gelesen? das ist ja genau der standardfall den sie anbieten. du Kannst über App/NFC oder über einen eigenen Transponder das Schloß aufsperren
Das Keypad ist ja nur ein alternative Möglichkeit. Wenn du es nicht brauchst, nutz es nicht!

Wodurch bei "Pflegerin hat Zugriff" oder "AirBnB" jetzt plötzlich der Einbruch unwahrscheinlich oder sinnlos wird erschließt sich mir nicht.

Pfleger(in) -> da ist jemand zuhause, Einbrüche wenn jemand zuhause sind passieren extrem selten, da kannst dich auch gleich um Sicherheit gegenüber Meteoriten Einschlag absichern.
Bei AirBnB -> was willst den in der Wohnung stehlen? einbrecher sind auf Wertgegenstände (Geld; Schmuck, Gold) oder Portable Geräte (Tablet, Notebook) aus, Wenn du so etwas bei einer Urlaubswohnung lagerst bist selber schuld, sorry. (Bei einem Freund wurde Eingebrochen, sein fast neuwertigen Desktop Rechner inkl. 24" Monitor haben sie nicht angegriffen. Nur seine Kleinmünzen haben sie im gestohlen -> ~20 € Der Schaden durchs aufbrechen war mehrere 100€.)

Ich lese immer nur "Keine Ahnung wie es im Detail implementiert ist", "würde es z.B. sinn machen", "werden sie höffentlich andere verfahren nutzen" - das sind mir zu viele Konjunktive und Mutmaßungen.
Technik ist und bleibt Technik und Realität, Mathe und Physik können die Jungs und Mädels nun mal nicht austricksen. Belassen wir es bitte dabei, es wird müßig das immer zu wiederholen. Wie gesagt: schön wenn es dir gefällt, freut mich (kein Sarkasmus, völlig ernst gemeint), mein ist es nicht, deins vielleicht schon - jedem das Seine!

Natürlich weiß ich nicht wie das im Detail aussieht, arbeite nicht dort, aber so etwas gegen Standardangriffe abzusichern ist ein "gelöstes" Problem. Da gibts genug Anleitungen im Netz und Publikationen wie man so etwas macht, Kann es fehlerhaft sein? Ja aber bisslang ist nix bekannt.
Und dein rum-reiten auf der Schlüssellänge Zeigt nur das du die Funktionsweise nicht verstehst weil das erschwert nur die Brute Force angriffe, die sind aber hier ziemlich egal (weil schon öfters erklärt)
Bei erfolgreichen Brute Force Angriffe gegenüber Passwörtern im Internet wurden die Password Dateien geklaut und die "Bösen" hatten damit beliebig Zeit (Tage und Wochen) die Daten zu knacken.
Und wenn die Kriminellen zugang zum Schloß haben um die Passwort/Keytabellen zu laden hast eh schon verloren, weil dann können sie es gleich aufsperren. warum Brute Force machen?

Ich sage nicht das schloß ist unknackbar, ich sage nichtmal es ist gut. Ich sage nur die Pin Länge ist so ziemlich
das kleinste Problem für das Anwendungsszenario.