Voice Biometrics per l'autenticazione finanziaria

Ciò verrà abusato e al posto dei dump delle password vedremo gli hacker scambiare i dump dei campioni vocali e creare enormi database di campioni vocali identificati da documenti pubblici e luoghi come YouTube.

Ci sono anche altri problemi che rendono questa scelta sbagliata. Non c'è una negazione plausibile se qualcuno non vuole essere costretto ad autenticare un aggressore. Con un PIN potresti essere in grado di dire che hai dimenticato il tuo codice, non puoi dire di aver dimenticato la tua voce.

C'è anche l'incapacità di proteggere ciò che viene detto da orecchie indiscusse e dispositivi di registrazione. I produttori di ATM hanno imparato questo a modo duro con gli ATM e ora abbiamo una schermatura che aiuta a nascondere quali numeri vengono premuti. Si verificheranno attacchi simili a quelli che già esistono.

Finalmente è troppo inverosimile per un utente malintenzionato avere un campione abbastanza grande di voce di qualcuno per avere un software in grado di dire qualunque cosa tu voglia che loro dicano con la loro stessa voce?

Penso che la tecnologia potrebbe ancora decollare semplicemente a causa di un fattore interessante o perché un'azienda abbastanza grande la costringe, ma non sono convinto che questo sia il miglior controllo di sicurezza per il compito da svolgere e condivido la tua preoccupazione.

Questo continua a spuntare ogni anno come la prossima grande cosa .

2016: Citi

2015: ING

2013: Barclays

Questo documento del 2014 Riconoscimento vocale automatico per lingue con risorse insufficienti: un sondaggio. Comunicazione vocale di Besacier, L., Barnard, E., Karpov, A., & Schultz, T. (accesso non libero) discute lo stato dell'arte delle tecnologie di riconoscimento degli altoparlanti. Il sondaggio conclude che le metriche di valutazione non sono ancora abbastanza solide, pur riconoscendo le vulnerabilità e la probabilità di una corsa agli armamenti. Niente in questo documento indica disponibilità per l'adozione su larga scala.

Questa community ha già molti post che mettono in guardia sulle promesse e i rischi della biometria (vedi qui ) soprattutto a causa della non revocabilità.

People's voice is public, which means is easy to record/process/reproduce, so how can that system be more secure than answering the usual security secret questions?

Nonostante tutti questi avvertimenti, devo ammettere che il sondaggio mostra sistemi di riconoscimento degli altoparlanti con contromisure incorporate che hanno valori FAR / FRR estremamente bassi (False Accept / Reject Rates) anche quando si trovano di fronte a rumore, imitazione, riproduzione registrata ecc. .

D'altra parte, le risposte alle domande di sicurezza sono difficilmente segrete, facilmente progettate socialmente e raramente forniscono una sicurezza adeguata ( ricordalo? )

Quindi sembra plausibile che la voce sostituirà "domande di sicurezza", almeno come sistema di autenticazione di backup per interagire con il supporto. Il collo di bottiglia è stato in gran parte preoccupazioni per la privacy per un po 'di tempo. Se decolla, è perché l'attuale sistema di autenticazione per le interazioni di supporto ha un approccio "human-in-the-loop" e più facile da ingannare; mentre questo è più economico e sistematico.

Ho le mie preoccupazioni sul fatto che questa diffusa adozione di dati biometrici possa davvero scalare, ma sembra inevitabile.

"Nome utente" vs password

La biometria è unicamente legata a te, ma è possibile copiare / fingere, probabilmente verrà distribuita inavvertitamente (quando non intendi autenticare nulla) e quasi impossibile da modificare. Ciò significa che la biometria, inclusa la voce, è un ottimo sostituto per fattori come nomi utente o ID cliente, ma richiederà comunque un fattore di conferma aggiuntivo come "qualcosa che conosci" o "qualcosa che hai".

In confronto con la pratica piuttosto comune di aver bisogno di due cose per accedere - il tuo indirizzo email come user-id e una password che è solitamente breve, semplice e probabilmente crackable; sostituendolo con email + voce cambierebbe i rischi ma IMHO li renderà leggermente peggiori, ma sostituirli con voice + password (anche se la password è peggiore di prima) sarebbe un grosso miglioramento.

Per l'autenticazione finanziaria, una buona regola empirica è chiedere "I genitori, i figli o il coniuge del cliente saranno in grado di soddisfare questi criteri?" - In caso affermativo, questi criteri non sono sufficienti per l'autenticazione finanziaria. La sola biometria vocale ovviamente fallisce questo test, dal momento che sono banali per ogni membro della famiglia da registrare.

Finally is it too far-fetched for an attacker to have a large enough sample of someones voice to have some software capable of saying whatever you want them to say in their own voice?

Adobe VoCo ti consente di cambiare le parole in una voce fuori campo semplicemente digitando nuove parole.

Dall'articolo della BBC: Adobe Voco "Photoshop-for-voice" preoccupa

The risks extend beyond people being fooled into thinking others said something they did not. Banks and other businesses have started using voiceprint checks to verify customers are who they say they are when they phone in. Voice waveformImage copyright One cybersecurity researcher said the companies involved had long anticipated something like Adobe's invention. "The technology is new but its underlying principles have been understood for some time," said Dr Steven Murdoch from University College London. "Biometric companies say their products would not be tricked by this, because the things they are looking for are not the same things that humans look for when identifying people. "But the only way to find out is to test them, and it will be some time before we know the answer."

Anche da questo articolo: La nuova app di "Photoshop per voce" di Adobe ti consente di mettere le parole nella bocca delle persone - sciencealert.com

Adobe says it is aware of the potential for misuse with Project VoCo, so is already working on technologies that will make it possible to detect if a recording has been tampered with – such as embedding hidden audio watermarks, which could potentially trigger voice security features used in systems like digital banking.