Biometria głosowa... to bardziej skomplikowane niż się wydaje

Z uwagą przeczytałam wypowiedzi ekspertów zamieszczone w artykule pani Anny Wasilewskiej-Śpioch pt. „Czas na hasło głosowe? Eksperci są sceptyczni” i widzę, że nadal więcej jest tu domysłów niż praktycznej znajomości technologii.

Przeczytaj komentowany artykuł: Czas na hasło głosowe? Eksperci są sceptyczni

Nikt nie ma wątpliwości, że hasło głosowe jest wygodniejsze niż wstukiwanie PIN-ów i kodów dostępu, największe wątpliwości budzą jednak kwestie bezpieczeństwa hasła głosowego. Czy dane klienta banku, który jako metodę weryfikacji stosuje biometrię głosową, czyli - innymi słowy - hasło głosowe, są równie bezpieczne jak w przypadku innych metod zabezpieczających, takich jak PIN czy hasła dostępu? Po kolei postaram się wyjaśnić wiele kwestii poruszanych w wypowiedziach ekspertów.

Jak biometria głosowa identyfikuje osobę fizyczną?

Biometria głosowa opiera się na tym, że każdy głos jest wyjątkowy. Jednak w przeciwieństwie do innych biometrycznych technologii wykorzystuje kombinację unikalnych cech fizycznych i behawioralnych głosu do jednoznacznego zidentyfikowania osoby.

Rozwiązanie gromadzi prawie setkę cech głosu, aby stworzyć fonoskopijny zapis osoby. Takie podejście umożliwia dokładną weryfikację osoby nawet w przypadkach, gdzie czynniki środowiskowe lub fizyczne zmieniają głos rozmówcy, m.in. choroba, szumy, hałasy w tle. Unikalne cechy fizyczne głosu danej osoby kształtowane są przez jej narządy głosowe. Behawioralne właściwości obejmują takie cechy, jak akcent, szybkość mówienia, artykulacja, sposób wysławiania się. Czynniki fizjologiczne i behawioralne łączą się, tworząc unikalny wzór głosu każdego człowieka.

Co więcej, dobry system biometrii głosowej regularnie weryfikuje w czasie wzorzec głosowy danej osoby, uwzględniając zmiany naszego głosu wynikające z wieku. Prawdopodobieństwo, że system pomyli nasz głos z głosem siostry, jest chyba podobne do tego, że zastosowaliśmy taki sam PIN czy kod dostępu jak ona. Z badań wynika, że 10% klientów posługuje się numerem PIN 1234, ponad 6% kodem 1111.

Czy biometria głosowa zadziała, kiedy dzwoniący ma katar?

Katar czy chrypka nie powinna stanowić problemu w uzyskaniu dostępu do konta chronionego biometrią głosową. Niemniej, jeśli znajomi nie są w stanie rozpoznać naszego głosu zmienionego przez stan zapalny gardła, nie możemy liczyć, że uczyni to bankowy system, więc podobną sytuację mamy w przypadku szumu czy hałasów w tle.

Sergey Nivens / Shutterstock

Sergey Nivens / Shutterstock

Co się stanie, kiedy prawomocny użytkownik nie zostanie zweryfikowany?

Powtórzenie przez dzwoniącego hasła głosowego rozwiązuje z reguły większość przypadków fałszywych odrzuceń (np. zbyt cichy głos, cross-talk, szum tła itp). Jeśli nasz głos z jakichś przyczyn budzi podejrzenia w bankowym systemie, wtedy zostaje zastosowana dodatkowa metoda weryfikacji klienta.

Eksperci ds. bezpieczeństwa o tym wiedzą, ale przeciętny klient banku niekoniecznieżadna instytucja nie stosuje wyłącznie jednego systemu zabezpieczeń. Tzn. jeśli zablokujemy swoje bankowe konto online przez trzykrotne użycie niewłaściwego kodu PIN, wtedy system wskaże, że musimy skontaktować się z infolinią albo iść do banku. To samo dotyczy biometrii głosowej.

Co się dzieje, kiedy oszust stara się uzyskać dostęp?

Wiele osób zakłada, że jeśli hakerzy wykradną z banku numer PIN czy hasło, to można je sobie zmienić na nowe. Ale co będzie, jeśli przechwycą zapisaną przez bank próbkę głosu? Głosu przecież się nie zmieni. OK, teraz kolej na trochę teorii...

W przypadku zastosowania przez bank biometrii głosowej, za zgodą klienta, przy pierwszym kontakcie z bankowym biurem obsługi pobierana jest próbka głosu, czyli wzorzec głosowy. Wzorzec głosowy to matematyczna reprezentacja brzmienia głosu, z której samego głosu nie da się odtworzyć. Nawet gdyby wzorce głosowe zostały wykradzione przez hakerów, to i tak na nic się nie przydadzą.

Rozwiązania firmy Nuance Communications posiadają zdolność odróżnienia żywego głosu od jego symulacji czy – w najprostszym przypadku – jego nagrania. W przypadku wątpliwości system poprosi o powtórzenie hasła albo inną wypowiedź głosową, co wyeliminuje próby zastosowania playbacku albo botów. Systemy weryfikacji głosowej są ponadto zabezpieczane na wiele sposobów: informacje są wielokrotnie szyfrowane, przetrzymywane w tak skonstruowanych bazach danych, że powiązanie wzorca głosu z fizyczną tożsamością danej osoby jest niemożliwe poza systemem.

Banki i inne instytucje wdrożyły kody PIN, hasła dostępu, pytania bezpieczeństwa, mimo iż regularnie wielu prawomocnych klientów nie zostaje uwierzytelnionych. Biometria głosowa, podobnie jak inne metody uwierzytelniania, nie jest doskonała, w czym zgadzam się z moimi przedmówcami, ale niemniej zapewnia znaczącą poprawę w stosunku do weryfikacji innymi metodami.

Krystyna Hirshman, Dyrektor ds. Wdrożen Nuance CommunicationsCo więcej, w porównaniu do innych metod zastosowanie hasła głosowego zmniejszało ryzyko nadużyć. Jak wykazują przykłady wdrożeń w wielu bankach na świecie, biometria głosowa prowadziła do wyeliminowania lub znacznego zmniejszenia przypadków oszustw. Przy okazji dodam, że dzięki biometrii głosowej łatwiejsze okazało się wytropienie takiego oszusta. Jednak trzeba jasno powiedzieć, że żaden system nie jest niezawodny, a supersprawni hakerzy są w stanie złamać wszelkie zabezpieczenia.

Krystyna Hirshman
Dyrektor ds. Wdrożeń Nuance Communications

PS. Do wypowiedzi pana Macieja Ziarka, eksperta ds. bezpieczeństwa IT z Kaspersky Lab Polska, który odniósł się do trzech różnych technologii głosowych, tj. rozumienia mowy, biometrii pasywnej i biometrii aktywnej, ze względu na skomplikowanie tej tematyki z przyjemnością nawiążę w kolejnym tekście.

Czytaj także: Czas na hasło głosowe? Eksperci są sceptyczni


  
znajdź w serwisie

RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Grudzień 2019»
PoWtŚrCzwPtSbNd
 1
2345678
9101112131415
16171819202122
23242526272829
3031