密码选择不当

汽车锁可防止的主要威胁是汽车或车内物品被盗。大多数盗窃都是机会主义的，而不是有针对性的：去停车场，尝试多辆车，直到找到一辆保护不善的车。使用密码或 PIN，您知道许多人会选择password或1234偏执地选择他们的出生日期。尝试失败后锁定汽车并不重要：小偷只会尝试每辆车上最可能的三个值，然后继续前进。

此外，如果您的孩子开始捣碎按钮，在尝试失败后强制锁定汽车会很烦人。

肩部冲浪

输入密码很容易受到肩膀冲浪的影响。仅从图片中复制物理键是很困难的（可以做到，但只有足够精确的图片）。没有帮助的人不可能复制物理密钥。

一个没有帮助的人很容易记住他们刚刚看到有人输入的 PIN。在停车场经过某人，记下 PIN，然后在第二天/一周左右的同一时间看到他们，获利。

贷款

我可以把车钥匙借给别人。当他们把钥匙还给我时，我可以有理由相信他们再也无法使用我的车了。当然，他们可能已经复制了钥匙，但这需要时间（如果他们只是短期借车，我知道他们没有这样做），如果我足够信任他们可以借我的车，我可能会信任他们不要复制密钥。

如果只有一个密码可以打开汽车，那么如果我让别人使用我的汽车，他们就可以永远访问。

当然，这可以通过使用多个密码来打开汽车来解决。但这增加了另一组困难。一个是密钥空间可能需要更大：对于一个小的密钥空间，例如 4 位 PIN，在多个有效代码的情况下，不知情猜测的概率可能变得不可忽略。更大的困难是这需要 Joe Random 来做密钥管理。自上次断电后，Joe Random 的 VCR 会在 12:00 闪烁。（可能不再使用具有 Internet 连接的 DVR。）Joe Random 了解物理令牌——如果我手中有对象，我可以控制它——但不了解密码管理。

因为电子系统更容易出错，而当你出错时，修复它会花费你很多钱和糟糕的公关：

• 克莱斯勒因电子钥匙被盗召回 140 万辆汽车
• 路虎因电子钥匙被盗召回 65,000 辆汽车
• 宝马为 220 万辆受电子钥匙黑客攻击的汽车发送 OTA 补丁

也有很多方法可以弄错：

• 设计不良的无线协议会导致重放/嗅探攻击。
• 设计/实现不佳的加密允许滚动代码的蛮力。
• 较差的 RNG 允许预测安全关键值。
• 在汽车固件中执行不正确的检查，允许滥用状态机。
• 汽车固件中的缓冲区溢出和类似的软件错误。

最重要的是，钥匙变得更加昂贵，钥匙供应系统变得更加昂贵，从长远来看，您最终会背负大量技术债务，因为您必须支持人们要求更换您拥有的车辆型号的钥匙不是在 10 年内制造的。

物理锁和钥匙相对简单，相对可靠，在物理设计方面相对容易正确，并且天生不会受到远程攻击。钥匙还迫使小偷与汽车进行直接的身体接触，从取证和调查的角度来看，这是一个好处。

我有完全相反的问题。几个世纪以来，物理密钥已经相对成功地保护了一切，为什么我们还要使用这些具有重大缺陷的愚蠢的基于密码的系统？

基于密码的系统存在严重缺陷。很少有人知道猜测密码是多么容易。忘记密码非常普遍，比丢失所有密钥副本更常见。这些年来我忘记了几十个密码，但我没有一次丢失过每一个密钥副本。

汽车（以及车门）长期以来一直使用基于令牌的身份验证，因为这是您可以（相对）便宜且简单地制作的东西，而且效果很好。

如今，我们可以以既便宜又简单的方式构建基于密码的系统，但是您为什么要这样做呢？

使用令牌本身并没有错。我们了解它们的工作原理。他们非常可靠。我们擅长管理它们。当然，它们比密码更容易窃取。但是密码有其自身的问题，例如说服用户在密码中输入足够的熵的无休止的斗争。

汽车制造商和用户通过改进现有的基于令牌的系统获得更好的结果。例如，现代技术使得在令牌中包含身份识别并让汽车根据驾驶者重新配置自身变得切实可行。