Pourquoi utilisons-nous toujours des clés pour démarrer des voitures? pourquoi pas des mots de passe?

Parce qu'il est plus facile de se tromper sur un système électronique, et lorsque vous vous trompez, cela vous coûte beaucoup d'argent et de mauvaises relations publiques pour le réparer:

• Chrysler rappelle 1,4 million de voitures en raison de piratages de clés électroniques
• Land Rover rappelle 65 000 voitures en raison du piratage de clés électroniques
• BMW envoie un patch OTA pour 2,2 millions de voitures affectées par des piratages de clés électroniques

Il existe également de nombreuses façons de se tromper:

• Protocole sans fil mal conçu conduisant à des attaques par rejeu/reniflement.
• Crypto mal conçu/implémenté permettant la force brute des codes glissants.
• Mauvais RNG permettant la prédiction des valeurs critiques pour la sécurité.
• Vérifications incorrectes effectuées dans le micrologiciel de la voiture, permettant un abus de la machine d'état.
• Débordements de tampon et bogues logiciels similaires dans le firmware de la voiture.

En plus de cela, les clés deviennent plus chères, les systèmes d'approvisionnement des clés deviennent plus chers, et à long terme, vous vous retrouvez avec beaucoup de dettes techniques parce que vous devez aider les gens qui demandent des clés de remplacement pour les modèles de véhicules que vous n'avez pas pas fabriqué en 10 ans.

Les verrous et clés physiques sont relativement simples, relativement fiables, relativement faciles à corriger en termes de conception physique et ne souffrent pas intrinsèquement d'attaques à distance. Les clés obligent également les voleurs à être en contact physique direct avec la voiture, ce qui est un bonus d'un point de vue médico-légal et d'investigation.

J'ai exactement le problème opposé. Pourquoi utilisons-nous ces systèmes stupides basés sur des mots de passe qui ont des défauts majeurs lorsque les clés physiques ont tout sécurisé avec succès pendant des siècles?

Le système basé sur le mot de passe est horriblement défectueux. Peu de gens comprennent à quel point il est facile de deviner les mots de passe. Oublier les mots de passe est incroyablement courant, bien plus courant que de perdre toutes les copies de vos clés. J'ai oublié des dizaines de mots de passe au fil des ans, mais pas une seule fois je n'ai perdu chaque copie d'une clé.

Les voitures (et d'ailleurs les portes) utilisent l'authentification basée sur des jetons depuis longtemps parce que c'était quelque chose que vous pouviez faire (relativement) à peu de frais et simplement et cela fonctionnait bien.

De nos jours, nous pouvons construire des systèmes basés sur des mots de passe tout aussi simplement et à moindre coût, mais pourquoi voudriez-vous?

Il n'y a rien de mal à utiliser des jetons. Nous comprenons comment ils fonctionnent. Ils sont très fiables. Nous sommes bons à les gérer. Ils sont plus faciles à voler que les mots de passe, bien sûr. Mais les mots de passe ont leurs propres problèmes, par exemple la lutte sans fin pour persuader les utilisateurs d'y mettre suffisamment d'entropie.

Les constructeurs automobiles et les utilisateurs obtiennent de meilleurs résultats grâce aux améliorations apportées aux systèmes à jetons existants. Par exemple, la technologie moderne rend pratique l'inclusion de l'identification dans le jeton et la reconfiguration de la voiture en fonction de la personne qui conduit.

Une clé est ce que vous avez (physique) et un mot de passe est ce que vous savez. Le premier doit être cloné et le dernier n'a qu'à être deviné ou reniflé.

Renifler un mot de passe sur un ordinateur se fait soit par "surf sur l'épaule" (c'est-à-dire en regardant quand quelqu'un entre le mot de passe) ou avec un renifleur de réseau. Dans le réseau de voitures (non piraté), le reniflement ne peut pas être fait, mais le surf à l'épaule peut probablement être facilement fait. Dans de nombreux cas, il y a suffisamment de gens autour lorsque vous démarrez votre voiture, il y a des caméras de sécurité et il peut y avoir d'autres petites caméras installées que vous ne remarquez pas, comme les caméras dans les skimmers ATM.

Vous pourriez essayer de trouver un endroit dans la voiture pour le clavier où les touches ne peuvent pas être surveillées, mais c'est probablement un endroit inconfortable. Et bien sûr, le mot de passe doit être suffisamment fort pour qu'il ne puisse pas être deviné mais doit toujours être facile à retenir. Cela signifie que les gens ont des mots de passe faibles ou écrivent le mot de passe quelque part dans la voiture ou utilisent un autre utilitaire pour s'en souvenir (par exemple, triche de papier dans la poche, gestionnaire de mot de passe dans le smartphone ...). Ainsi, l'utilisation d'un mot de passe peut ne pas être aussi confortable que prévu ou peut avoir une sécurité très faible, de sorte qu'il peut facilement être reniflé ou deviné.

Il existe déjà des solutions pour réduire la dépendance à la clé en la remplaçant par une autre chose que vous avez, comme une empreinte digitale ou un smartphone. Bien que ceux-ci soient plus confortables, ils peuvent échouer de différentes manières que la clé habituelle: les attaquants pourraient retirer votre doigt ou pas seulement vous mais aussi d'autres pourraient déverrouiller votre voiture à distance à cause de conception peu sûre. Mais si les constructeurs automobiles s'associent à des experts en sécurité, ils pourraient en fait créer quelque chose qui ajoute du confort sans réduire la sécurité.

Étant donné la tendance récente à améliorer la sécurité des mots de passe en ajoutant un deuxième facteur pour augmenter quelque chose que vous connaissez (mot de passe) avec quelque chose que vous avez (smartphone, jeton de sécurité ...), il est peu probable que la sécurité avec les voitures se déplace dans la direction opposée. Mais on ne sait jamais parce que les constructeurs automobiles ont parfois des idées étranges pour plaire à leurs clients qui pourraient même avoir un impact involontaire sur la sécurité .

Il peut être intéressant de noter que certaines voitures utilisent/ont utilisé des mots de passe. Ces mots de passe sont généralement un code PIN à 4 chiffres.

Ils ressemblent à ceci:

Bien que je l'ai vu dans plusieurs voitures, je ne connais aucune voiture ayant un tel système intégré à l'usine.

Pour démarrer la voiture, une clé et le code sont nécessaires. Il ne semble pas difficile de contourner cela si l'on se sent si enclin, mais il est toujours mis en œuvre comme une étape supplémentaire, pas un remplacement. Je ne suis pas un expert en sécurité, mais une clé à puce me semble plus sûre qu'un code à 4 chiffres sur un clavier.

C'est une très bonne question et une question qui touche à certains principes de sécurité de l'information très élémentaires mais souvent mal compris. Le fait le plus élémentaire est qu'une clé de voiture est une autorisation tandis qu'un mot de passe, au moins dans son utilisation courante, est souvent lié à une forme d'identité (comme un nom d'utilisateur) et, en tant que tel, se trouve dans un jeton d'authentification. Bien que ces concepts soient souvent utilisés de manière interchangeable, ils sont très différents. Votre voiture n'a pas besoin de votre identité pour savoir que vous êtes autorisé à l'utiliser. Votre clé "est" l'autorisation. Si vous êtes allé au bar avec quelques amis et que vous vous êtes énervé, vous pouvez facilement déléguer votre autorité à la voiture en donnant à un ami qui n'a bu que du perrier toute la nuit votre clé de voiture afin qu'il puisse vous ramener à la maison en toute sécurité. Après vous avoir déposé chez vous, il vous rend votre clé, monte sur son vélo et colporte la maison. Donc, fondamentalement, la délégation a été volontairement révoquée en lui rendant votre clé.

Si vous souhaitez remplacer une clé de voiture par quelque chose de mieux, il est très important que:

A) Vous ne tombez pas dans le piège de l'utilisation des identités. Il n'y a absolument aucune justification pour entrer dans les complexités impliquées avec les identités, l'authentification, les listes de contrôle d'accès, etc. Après 6 lagers, le sysadmin averti en sécurité à l'intérieur de vous n'est certainement pas capable de changer les ACL pour permettre à votre ami de vous ramener chez vous.

B) Vous voudrez adopter et développer le concept de délégation.

Je pense que cet ancien article de blog aborde certains des aspects humains auxquels un meilleur système "d'autorisation" devrait penser.

https://minorfs.wordpress.com/2014/07/13/security-debunking-the-weakest-link-myth/

La chose la plus importante à réaliser est que nous avons besoin d'une meilleure autorisation. PAS (meilleure) authentification, pour des cas comme celui-ci. Un système de système d'autorisation aussi efficace pourrait-il utiliser des mots de passe? Probablement. Les mots de passe (ou les capacités de mots de passe mémorables, qui sont fondamentalement des mots de passe sans identité) suffiraient-ils à eux seuls à remplacer les mots de passe? Certainement pas. Il serait cependant très intéressant de voir si quelqu'un propose une solution à la fois plus sûre que les clés de voiture tout en intégrant pleinement la force naturelle de l'homme dans des modèles d'interaction relativement sécurisés et riches en délégation.

Les constructeurs automobiles ne peuvent même pas obtenir la sécurité de base, même pas avec des clés standard. Aujourd'hui, presque toutes les voitures ont des technologies d'immobilisation intégrées (qui lisent une puce intégrée dans la clé), mais:

• leur "crypto" est cassé et les clés peuvent être clonées, ce qui est impossible avec n'importe quel jeton PKI/carte à puce qui vaut son prix.
• les ordinateurs de la voiture montrent avec plaisir l'intégralité de leur micrologiciel et de leur mémoire (qui comprend toutes les informations nécessaires pour programmer une puce immo correspondante) à quiconque le demande, et accepteront même d'installer un nouveau micrologiciel comme celui corrigé pour supprimer le code immo.

Donc, s'ils ne parviennent même pas à obtenir les bonnes clés, comment voulez-vous qu'ils obtiennent les bons mots de passe? S'ils essaient des mots de passe, je suis sûr qu'il y aura un idiot qui dira "hé, implémentons un mot de passe maître non modifiable pour l'application de la loi", et imaginez le désastre après cela.

De plus, vous auriez toujours besoin d'un jeton physique pour ouvrir la voiture, car taper un long mot de passe par une nuit froide dans un parking sinistre n'est pas si sûr, donc si vous avez un jeton physique, vous pouvez aussi le réutiliser. Je voudrais cependant que ce soit sécurisé, car actuellement ce n'est clairement pas le cas.

Soit dit en passant, sur le processus coûteux de changer les clés de voiture, c'est par conception. Que feraient les pauvres constructeurs automobiles s'ils ne pouvaient plus vous voler 300 $ à chaque fois que vous deviez remplacer vos clés? La vraie raison pour laquelle il existe des technologies d'immobilisation dans les voitures n'est pas parce que la sécurité (comme je l'ai dit ci-dessus, leur "sécurité" est théorique), c'est juste pour forcer les clients honnêtes à payer des sommes astronomiques pour rien. Les voleurs, d'autre part, peuvent utiliser des solutions logicielles pour continuer à voler.

Cela se rapporte aux principes de la sécurité de l'information qui rendent souhaitable l'authentification multifacteur.

• Quelque chose que tu sais
• Quelque chose que tu as
• Quelque chose que tu es

Du point de vue de la sécurité, le fait d'en échanger un contre un autre n'apporte pas de gain exponentiel. C'est la combinaison de plusieurs facteurs qui augmente généralement les rendements.

Avec les voitures, ce que vous savez est généralement l'emplacement de la voiture. Historiquement, les voitures n'étaient pas traçables ou accessibles à distance, donc l'exposition au risque était limitée à la zone locale de la voiture. Cela change progressivement à mesure que les voitures deviennent connectées. Tout comme un centre de données, une voiture peut être physiquement sécurisée dans une zone d'accès restreint, comme un garage. Les personnes qui sont vraiment préoccupées par le vol de leur voiture ne se gareront probablement que dans des zones restreintes ou dans des zones très publiques où un vol par force brute serait remarqué. Ce qui rend les attaques de compte en ligne si dangereuses, c'est qu'elles sont largement invisibles et rarement remarquées.

Le quelque chose que vous avez a toujours été la clé physique. De nos jours, cela pourrait être un porte-clés ou un démarreur à distance. Du point de vue de la sécurité, un jeton physique est précieux car il limite la portée du vol de toute personne à quelqu'un avec le jeton en main. Cela signifie souvent commettre un crime distinct pour obtenir le jeton physique. L'ajout d'un jeton physique à l'accès au compte en ligne pour l'authentification à deux facteurs réduit considérablement le risque d'accès non autorisé au compte via un mot de passe.

Quelque chose que vous êtes est le propriétaire enregistré. Vous pouvez demander à la police d'arrêter toute personne en possession de la voiture qui n'est pas le propriétaire physique. C'est le principal moyen de dissuasion contre le vol, pas la difficulté. Se connecter au compte en ligne d'une personne sans sa permission a des conséquences discutables, souvent aucune. Voler leur voiture et se faire prendre est presque garanti une peine d'emprisonnement avec un dossier criminel.

L'application des principes de sécurité de l'information au vol de voitures n'est pas encore un à un. Lorsque les voitures sont entièrement en réseau et autonomes, elles devront être sécurisées de la même manière que les comptes en ligne, car elles subiront des risques similaires. À ce moment-là, quelqu'un pourrait voler votre voiture en s'y connectant à distance et en la faisant conduire à l'emplacement de ramassage souhaité sans que personne ne le voie, et sans s'exposer physiquement à la capture (distinction importante). Ils pourraient même être en mesure d'utiliser votre voiture et de la remettre au même endroit à votre insu. Même alors, quelqu'un pourrait vous remarquer et vous alerter en tant que propriétaire, car un grand objet physique change d'état d'une manière que toute personne (même un enfant) peut voir. Cette visibilité est un point critique.

Nous nous dirigeons vers une authentification multifactorielle forte pour les véhicules. La clé (ou le fob) ne sera pas éliminé, il ne suffira plus. De même, une solution purement virtuelle comme un mot de passe ne devrait pas non plus suffire, car elle échange simplement un type de risque (accès physique) contre un autre type (accès virtuel). Je soupçonne que la clé accordera un accès physique au véhicule (portes ouvertes, coffre, capot), et la clé (rfid) plus le mot de passe ou la biométrie permettront alors de l'utiliser.

En guise de séparation, à quelle fréquence les serveurs sont-ils piratés à distance (mots de passe) ou physiquement volés dans des centres de données (clés)? Pourquoi donc? Pourquoi est-ce toujours vrai?

Je pense qu'il y a deux facteurs principaux à cela:

• Commodité

Il est beaucoup plus facile d'avoir une clé à portée de main et de la donner à quelqu'un, d'en avoir une copie de rechange, etc., que de gérer un mot de passe, de le saisir à chaque fois, de le changer, lorsque votre fils reçoit un fender-bender, etc.

• Idiotie

Les gens préfèrent avoir un appareil qui déverrouille la voiture, plutôt que gérer une solution de sécurité consistant en un mot de passe ou un ensemble de mots de passe.

(Remarque: en fait, dans la plupart des cas, en tant que spécialiste informatique, je préfère que les gens utilisent une carte à puce ou une simple clé pour se connecter plutôt qu'un mot de passe. C'est beaucoup plus pratique lorsque vous devez diagnostiquer/réparer. quelque chose dans un environnement d'entreprise, que d'avoir une politique de mot de passe et qu'une personne partage son mot de passe. Donc, je suis vraiment impatient d'une adoption plus large des clés, plutôt que des mots de passe en général.

Il y a encore un autre problème avec les voitures protégées par mot de passe. Nous ne devons pas oublier que le propriétaire/conducteur est généralement un simple être humain. En tant que tel, il/elle a l'habitude des porte-clés physiques depuis l'enfance et une clé pour la voiture, entre un et trois pour la maison et une au travail est facile à transporter dans une poche. Et même si votre voisin connaît l'âge de vos enfants et le nom de votre chien, cela ne sert à rien de forcer la porte de votre maison.

En revanche, les mots de passe peuvent être très sécurisés. Un mot de passe vraiment aléatoire de 4 à 6 chiffres devrait fournir un niveau de sécurité équivalent à une clé physique standard, ne parlant pas sur 12 caractères alphadécimaux. Mais comme je l'ai déjà dit, beaucoup d'entre nous ne sont que de simples êtres humains et il est difficile de se souvenir de nombreux mots de passe vraiment aléatoires. Donc, soit les mots de passe sont fournis par une troisième partie et beaucoup de gens les écrivent dans de nombreux endroits différents, ce qui ruine la sécurité, ou ils peuvent être choisis, et vous trouvez l'anniversaire des enfants ou le nom de l'animal. Ok les utilisateurs de security.stackexchange connaissent la sécurité informatique, connaissent la faiblesse des mots de passe et pourraient utiliser sans risque majeur une porte de voiture ou de maison protégée par mot de passe. Mais qui ne connaît pas un ami ou un parent qui pourrait pas imaginer mettre un mot de passe sur son smartphone ou utiliser quelque chose de plus complexe que l'anniversaire de sa petite amie pour protéger sa page facebook? Quelle serait la vraie sécurité de sa voiture sécurisée par mot de passe?

Ok c'est juste son problème. Mais pensez-vous qu'il achètera une voiture protégée par mot de passe ou un verrou protégé par mot de passe sur la porte de sa maison? Alors maintenant, cela devient le problème de l'entreprise qui vend des voitures et des serrures

TL/DR: Je ne pense pas que les mots de passe remplaceront bientôt les clés physiques pour quelque chose d'aussi grave qu'une voiture ou une porte de maison, non pas à cause de failles de sécurité, mais simplement parce que la plupart des humains ne pourraient pas les utiliser en toute sécurité. Le problème n'est pas la technique mais comme pour de nombreux problèmes informatiques: la partie la plus dangereuse pour un ordinateur se situe entre le fauteuil et le clavier

Lorsque vous avez 2 solutions concurrentes et qu'aucune n'a un énorme avantage sur l'autre, celle qui domine déjà le marché l'emporte.

Bien que les clés soient de faible sécurité et parfois plutôt gênantes, les mots de passe le sont aussi - juste pour différentes raisons.

• Lorsque vous apportez la voiture à un mécanicien, vous leur donnez les clés. Et si vous avez un mot de passe?

• Les caméras peuvent voler votre mot de passe, mais pas votre clé.

• Lorsque quelqu'un vole votre clé, vous le remarquerez. Quand quelqu'un vole votre mot de passe, vous ne le remarquerez pas.

• Les mots de passe peuvent être oubliés.

• La saisie de mots de passe longs prend du temps. L'utilisation de mots de passe courts compromet la sécurité.

• Un trou de serrure est moche, mais pas aussi laid qu'un clavier.

• Les clés peuvent fonctionner uniquement sur la base de la mécanique. Le clavier du mot de passe est un problème lorsque la batterie est morte et vous devez entrer le mot de passe pour ouvrir le capot afin de démarrer la batterie.

Les mots de passe sont différents, mais pas meilleurs. Il existe plusieurs approches qui sont meilleures que les mots de passe et qui complètent les clés mécaniques, par exemple en appuyant sur le bouton de la clé pour déverrouiller la porte.

Voler des clés physiques est une entreprise à petite échelle risquée, le piratage peut-être pas

Pensez à faire ce choix:

1. Approchez-vous de quelqu'un, mettez votre main dans sa poche, prenez sa clé, montez immédiatement dans sa voiture, partez, vendez-la pour tout ce que vous pouvez obtenir
2. Pirater quelque chose, organiser une vente (mots de passe/voiture réelle), à ​​un moment opportun (laisser quelqu'un) prendre la voiture pour laquelle vous savez que vous pouvez obtenir de l'argent

Considérations

Même en supposant qu'il ne serait pas possible de regarder le mot de passe lors de la saisie, il sera beaucoup plus facile de voler une voiture et de s'en tirer. Donc, peut-être que le nombre de clés volées dans les barres diminuera, mais le nombre de mots de passe volés devrait facilement compenser cela.

Aborder d'autres points mentionnés dans la question

Les clés de voiture peuvent être facilement perdues ou volées par un inconnu que vous avez rencontré dans un pub, mais il est très peu probable que vous criez votre mot de passe pendant que vous dormez en train de parler

Votre clé classique ne peut être volée que par quelqu'un qui y a un accès physique. Ainsi, toute personne qui tente de voler une clé devra prendre un risque considérable et envisager la possibilité d'être en prison le lendemain. De plus, la personne n'aura pas seulement besoin de voler la clé, elle devra également l'utiliser immédiatement pour monter dans la voiture, car l'occasion se serait autrement présentée. Quelqu'un qui a volé votre code de mot de passe peut probablement rester anonyme, ne faisant face à un risque que lorsqu'il récupère finalement la voiture à un moment opportun. Après tout, vous ne saurez pas que quelqu'un d'autre a maintenant votre mot de passe.

C'est un gros tracas et un processus coûteux de changer vos clés de voiture; Les mots de passe sont très faciles à changer.

Comme il n'est pas acceptable que les gens ne puissent pas utiliser leur propre voiture, les clés doivent probablement être stockées quelque part de manière centrale. De plus, les clés numériques ont tendance à nécessiter un changement beaucoup plus fréquent que les clés physiques car il s'avère que les gens sont mieux à les voler. Par conséquent, les revenus annuels générés par les "frais d'administration" seront probablement beaucoup plus élevés que les dépenses totales pour les remplacements clés pour le moment.

Vous pouvez toujours utiliser votre voiture comme une escapade dans un vol de banque et vous prétendez plus tard que vous avez perdu les clés et que ce n'était pas vous; vous ne pouvez pas le faire avec un mot de passe.

Je ne vois pas pourquoi les gens ne pourraient pas prétendre que quelqu'un a volé leur mot de passe.

Plusieurs de vos points ne me semblent pas valables.

Une clé est facile à voler, mais pas un mot de passe? Comment? J'ai 56 ans et je n'ai jamais, jamais volé mes clés de voiture. Bien sûr, les gens peuvent être volés à la tire, je ne dis certainement pas que c'est impossible à faire. Mais les gens écrivent souvent des mots de passe et le morceau de papier peut être volé. Les gens utilisent des mots de passe faciles à deviner. Ce n'est pas du tout évident pour moi qu'il est plus facile de voler une clé physique qu'un mot de passe. Je ne sais pas si quelqu'un a fait une étude à ce sujet. Bien que je soupçonne dans les deux cas, cela dépend beaucoup de la façon dont vous prenez soin de protéger la chose. Si vous avez l'habitude de laisser vos clés sur le bureau au travail ou au bar de la buvette locale et de vous éloigner, votre risque augmente considérablement. Si vous avez l'habitude d'utiliser "password1" comme mot de passe ou d'écrire votre mot de passe sur un pense-bête et de le laisser bien en vue, votre risque augmente considérablement.

Si vous utilisez votre voiture pour commettre un crime, vous pourriez prétendre qu'une clé a été volée, mais pas un mot de passe? Cela nous ramène au point précédent. Cet argument n'est valable que si nous supposons que les clés sont faciles à voler mais que les mots de passe sont impossibles à voler. Même si vous pensez que les clés sont plus faciles à voler, il n'est certainement pas impossible de voler un mot de passe. Je présume que dans les deux cas, la police chercherait plus de preuves dans les deux cas.

Comment envisagez-vous que l'utilisateur entre le mot de passe? Vraisemblablement, il devrait y avoir un clavier à l'extérieur de la voiture. Ce clavier devrait fonctionner de manière fiable indépendamment de la pluie, de la neige, de la glace, etc. La voiture de ma fille a un clavier et une serrure à combinaison. Nous avons acheté la voiture d'occasion et elle n'a jamais fonctionné.

Combien de temps faut-il pour saisir le mot de passe? Cela pourrait être un problème pour, disons, une femme seule essayant de monter dans sa voiture par une nuit noire. Ou moins dramatique, pour quelqu'un qui essaie de monter dans sa voiture quand il pleut ou qu'il fait froid et que ses doigts sont engourdis.

C'est un gros tracas de changer de clé? Pas vraiment. J'ai dû remplacer une fois la porte de ma voiture quand elle avait un mauvais problème Rust. J'ai acheté une porte dans un dépotoir. Bien sûr, la serrure de porte de remplacement ne correspondait pas à mes clés. J'ai échangé le cylindre de clé de mon ancienne porte à ma nouvelle porte avec environ vingt minutes d'effort. Je ne sais pas combien cela coûte d'acheter un nouveau cylindre de clé, mais ce n'est pas comme si c'était quelque chose que vous allez faire chaque semaine. nouvelle serrure pour une porte de maison coûte dix ou vingt dollars à la quincaillerie locale.

1. Un système de mot de passe a besoin d'une interface, une interface doit être sécurisée et durable.

1.1 Si l'interface est liée à la voiture, elle est potentiellement facile à détruire pour les vandalistes sans beaucoup de bruit, une interface mal conçue pourrait être détruite par un aimant pour le plaisir. Comment ouvririez-vous la voiture si l'interface fonctionnait mal ou était endommagée? Vous mentionnez une clé principale, mais de cette façon, vous donnez aux attaquants 1 vecteur d'attaque de plus qu'avant et diminuez la sécurité.

1.2 Si l'interface est portable, elle est également piratable ou au moins bruteforcable, en émulant le matériel et les signaux envoyés.

2. Sécurité de l'information, vol, unicité et copies.

2.1 Les mots de passe sont des informations visuelles qui peuvent être facilement volées à distance, par exemple. en observant le mouvement des doigts sans vraiment voir le périphérique d'entrée. Une caméra à n'importe quel endroit dans un parking pourrait facilement voler des centaines de mots de passe sans aucun effort et sans que son propriétaire ne s'en aperçoive. De plus, les voitures sont utilisées dans les lieux publics avec des étrangers et la saisie de mot de passe non observée est presque impossible à garantir.

2.2 Les informations peuvent voyager sans préavis des propriétaires. Cela signifie que le mot de passe de votre voiture peut être obtenu à votre insu, tandis qu'une clé de voiture ne peut pas être volée sans que vous vous en rendiez compte à long terme.

3. Coût relatif, complexité et confort.

3.1 Même si vous surmontez tous les défis ci-dessus d'une manière 100% sécurisée et produisez un périphérique d'entrée qui est tout aussi durable qu'une clé et une serrure. Est-ce moins cher que le système de clé et serrure?

3.2 Votre système augmente-t-il la complexité pour les utilisateurs et/ou a-t-il besoin d'obtenir des périphériques supplémentaires qui peuvent être complexes? (Et oui, les smartphones ou les tablettes sont complexes, et probablement pas un périphérique d'entrée sécurisé de toute façon)

3.3 Votre système est-il plus confortable que le système de clé et de verrouillage précédent?

3.4 Votre système est-il rapide à utiliser? Si tel est le cas, est-il vraiment sécurisé? Si ce n'est pas le cas, le problème est-il vraiment meilleur qu'un système de verrouillage à clé?

4. Partage, révocation des droits d'accès, etc.

4.1 Si je prête la voiture à mon fils, je ne peux pas révoquer l'accès sans changer le mot de passe, ce qui révoquerait également l'accès pour ma femme et nous devrions tous les deux apprendre un nouveau mot de passe par cœur. Les mots de passe doivent être facilement mémorisés car les écrire les dévalorise.

4.2 Avoir plusieurs mots de passe valides rendrait le système plus vulnérable à la force brute et une fuite n'importe où serait déjà fatale à la sécurité.

Pour deux raisons.

Premièrement, les mots de passe sont un concept de sécurité incroyablement stupide et faible.

Deux, la commodité.

Le second est plus facile. Avec une clé, vous disposez d'un niveau de sécurité raisonnable dans un format pratique. Vous pouvez le donner à votre ami pendant une heure, puis le reprendre. Imaginez combien de personnes détenaient les clés de votre voiture au cours d'une année typique. Le mécanicien du garage, votre femme ou votre fils, votre ami, le voiturier de ce restaurant chic où vous êtes allé une fois. Imaginez devoir configurer des mots de passe temporaires ou changer votre mot de passe à chaque fois. Aujourd'hui, les clés sont bien plus que de simples clés. Ils contiennent des dispositifs d'immobilisation, ils vous permettent d'ouvrir la porte ou le coffre ou les fenêtres et le toit de la cabine à distance. Pour certaines marques (BMW, par exemple), ils ont également une puce mémoire qui stocke les données de la voiture (position du siège, paramètres climatiques, etc.) afin que deux personnes différentes puissent chacune avoir leur propre clé avec leurs paramètres personnels, ainsi que des informations de diagnostic pour le concessionnaire/garage si vous l'apportez pour des réparations.

Deuxièmement, les mots de passe sont un mécanisme de sécurité cassé que nous utilisons uniquement parce qu'il est là et que nous le savons. Les mots de passe sont régulièrement, faibles, oubliés, partagés. Ils doivent être stockés quelque part et il existe une centaine de façons de les attaquer, alors qu'il n'y a qu'une demi-douzaine de façons d'attaquer les clés.

Il y a un autre point qui est important pour l'application de la loi, l'assurance, etc. - les clés sont des éléments physiques. Ou en termes juridiques: preuves. Si vous croyez avoir volé ma voiture et que la police trouve mes clés de voiture avec vous, c'est une putain de bonne preuve. Comment pourrais-je prouver que vous connaissez mon mot de passe?

Il existe certainement des améliorations à la clé de voiture qui peuvent être apportées (et sont en cours de réalisation), mais le passage aux mots de passe n'en fait pas partie.