Czas na hasło głosowe? Eksperci są sceptyczni

24-01-2015, 21:22

Z badań podobno wynika, że internauci oczekują bardziej przyjaznych metod uwierzytelniania niż standardowe hasła, PIN-y czy telekody. Warto mieć na uwadze, że ta przyjazność nie zawsze idzie w parze z bezpieczeństwem.

Część komunikatów prasowych docierających na adres redakcji prezentuje wyniki różnych badań. Ostatnio otrzymaliśmy np. analizę postaw Polaków wobec stosowanych obecnie metod uwierzytelniania ze szczególnym naciskiem na weryfikację głosową. Badanie zostało przeprowadzone przez TNS Polska na zlecenie Nuance Communications, odbyło się w listopadzie 2014 r. i objęło 1000-osobową grupę internautów między 18 a 65 rokiem życia.

Z badania tego wynika, że blisko połowa respondentów (47%) czuje się zmęczona liczbą haseł dostępu, kodów i PIN-ów, które trzeba zapamiętać. 46% denerwuje się, kiedy system wymusza tworzenie skomplikowanych haseł. 27% twierdzi, że nie lubi tokenów, ponieważ łatwo je zgubić.

Przejdźmy jednak do meritum. 65% mężczyzn i 39% kobiet słyszało ogólne informacje na temat biometrycznych zabezpieczeń dostępu. Ponad ośmiu na dziesięciu internautów (86%) rozpoznaje co najmniej jeden sposób biometrycznego uwierzytelniania - najczęściej wymieniano odczyt linii papilarnych i skan tęczówki oka. Weryfikację głosową kojarzy sobie 57% badanych.

Czy hasło głosowe jest atrakcyjne?

Czy hasło głosowe jest atrakcyjne?

Jak wynika z powyższego wykresu (można kliknąć, by go powiększyć), więcej niż połowa respondentów odpowiedziała, że weryfikacja za pomocą rozpoznawania głosu jest atrakcyjna - wygodna, bezpieczna, łatwa w użyciu, innowacyjna. Sceptyków zniechęca do tej metody możliwość modyfikacji głosu, np. podczas choroby, a także łatwość jego nagrania.

Chęć korzystania z hasła głosowego

Chęć korzystania z hasła głosowego

Wszystko byłoby dobrze, gdyby autor komunikatu prasowego ograniczył się do przedstawienia wyników badań. W przesłanej nam informacji co i rusz pojawia się jednak hurraoptymistyczne twierdzenie, że hasło głosowe jest bezpiecznym sposobem weryfikacji, alternatywą haseł dostępu czy kodów PIN. Czy aby na pewno? O opinie na ten temat poprosiłam kilku ekspertów.

Biometria... to skomplikowane

O ile w przypadku kodu PIN jego wdrożenie jako zabezpieczenia polega na sprawdzeniu znajomości 4 cyfr we właściwej kolejności, o tyle w przypadku np. biometrii głosowej możliwości jej implementacji są znacznie bardziej zróżnicowane. Można uwierzytelniać użytkownika na podstawie barwy i tonu głosu, można badać jego akcent, tempo wypowiedzi, przerwy pomiędzy poszczególnymi frazami, można oczekiwać wypowiedzenia konkretnego zdania (np. "Sezamie, otwórz się") czy też na podstawie wypowiedzi oceniać, czy mówca jest zdenerwowany, czy pewny siebie - mówi Adam, redaktor serwisu ZaufanaTrzeciaStrona.pl.

Maciej Ziarek, ekspert ds. bezpieczeństwa IT z Kaspersky Lab Polska, zauważa, że istnieje spora różnica pomiędzy rozpoznawaniem mowy a systemem weryfikacji głosowej. Rozpoznawanie mowy często jest zintegrowane z komunikacją (np. zamiana mowy na tekst, pisanie SMS-a na podstawie wymawianego tekstu, sterowanie głosowe komputerem/urządzeniem mobilnym/nawigacją w samochodzie). Weryfikacja głosu opiera się na analizie wielu zmiennych, takich jak akcent, artykulacja, szybkość wypowiadanych słów czy przerwy między zdaniami. Na tej podstawie tworzony jest matematyczny zapis (głos nie jest porównywany do próbki za pomocą dwóch wykresów graficznych, jak to często jest pokazywane na filmach), swego rodzaju voiceprint - tłumaczy ekspert.

Dlaczego to takie ważne? Jeżeli system bezpieczeństwa został stworzony w oparciu o rozpoznanie mowy i konieczność wypowiedzenia konkretnego słowa/zdania, to jest to rozwiązanie dalekie od bycia bezpiecznym. Natomiast jeżeli mówimy o prawdziwej biometrii głosu, gdzie system jest w stanie rozpoznać nawet to, czy wypowiedź jest nagraniem, czy głos pochodzi od żywej osoby, to rozwiązanie takie uchodzi obecnie za dość bezpieczne - wyjaśnia Maciej Ziarek, dodając, że wszystko w zasadzie sprowadza się do tego, by system był w stanie rozpoznać nie tyle, co jest mówione, ile kto to mówi.

Kolejnym ważnym czynnikiem w przypadku biometrii jest jakość zarówno pobranej próbki porównawczej, jak i sygnału w momencie próby uwierzytelnienia - podkreśla redaktor Zaufanej Trzeciej Strony. - Inną jakość ma głos nagrany czułym mikrofonem w odrębnym pomieszczeniu w siedzibie banku, a inną sygnał przekazany przez sieć telefoniczną, obcinającą część częstotliwości, z dodatkowym szumem tła wynikającym np. z faktu, że osoba identyfikowana podróżuje właśnie autobusem. Jeśli dodamy do tego fakt, że głos ludzki zmienia się w przypadku choroby lub wraz z wiekiem, to stajemy przed poważnym wyzwaniem.

Co może zrobić atakujący?

Odpowiedzią na opisane wyżej trudności jest - a jakżeby inaczej! - łagodzenie kryterium dopasowania wzorca do pobranej próby, by uniknąć błędu odrzucenia prawidłowego uwierzytelnienia. A to prowadzi do sytuacji, w której łatwiej o błąd akceptacji nieprawidłowego uwierzytelnienia. Jak mówi Adam z serwisu ZaufanaTrzeciaStrona.pl: Znalezienie granicy, minimalizującej błędy obu rodzajów jest bardzo trudnym, o ile nie niemożliwym zadaniem. Dodatkowo badania jednego z dostawców systemów uwierzytelniania głosowego wskazują, że od 10 do 20% społeczeństwa ma bardzo podobne głosy, które mogą być ze sobą pomylone w procesie identyfikacji.

Kamil Sadkowski, analityk zagrożeń firmy ESET, w swojej wypowiedzi dla Dziennika Internautów skupił się na potencjalnych atakach o różnym stopniu skuteczności, które mogą zostać wykorzystane do oszukania systemu rozpoznawania mówcy.

Najprostszy z nich polega na nagraniu głosu użytkownika, a następnie odtworzeniu go podczas przeprowadzanej przez system weryfikacji. Taki atak ma jednak znikome szanse powodzenia, gdy system rozpoznawania mówcy zadaje użytkownikowi do wypowiedzenia za każdym razem inną, unikalną frazę. Bardziej wyrafinowane techniki ataków polegają na konwersji głosu - atakujący wypowiada zadaną frazę, a jego głos zostaje przekształcony przez odpowiedni system przetwarzania mowy w taki sposób, by imitował głos użytkownika. Do konstrukcji takiego systemu potrzebne są próbki nagrań wypowiedzi użytkownika - tłumaczy Kamil Sadkowski.

Czy warto więc korzystać z weryfikacji głosowej? Mimo wysokiej skuteczności biometria nie jest rozwiązaniem w 100% bezpiecznym. Takich metod po prostu nie ma. Metody takie mogą jednak być dobrym uzupełnieniem innych systemów bezpieczeństwa - uważa Maciej Ziarek z Kaspersky Lab Polska. Jego zdanie podziela redaktor Zaufanej Trzeciej Strony, który mówi: Nie chciałbym korzystać z systemów opierających uwierzytelnienie wyłącznie na biometrii głosowej, choć nie miałbym oporów przed jej używaniem jako jednego z 2-3 składników uwierzytelnienia.

Niejednokrotnie już zachęcaliśmy naszych Czytelników do korzystania z dwuskładnikowego uwierzytelniania. Chodziło zazwyczaj o wpisywanie podczas logowania się do popularnych usług dodatkowego kodu, przysłanego za pomocą SMS-a. Jego zamiana na hasło głosowe byłaby ciekawą alternatywą.


Komentarze
comments powered by Disqus
To warto przeczytać












  
znajdź w serwisie

RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Wrzesień 2017»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
252627282930 
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2017 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.