金融認証のための音声生体認証
この記事から: http://www.bbc.com/news/business-36762962
どうやら、私たちが誰であるかを確認するだけで平均45秒かかります。
しかし、コンピュータを使用して声を識別することにより、この認証プロセスは平均で15秒に短縮され、銀行のポットや多くの手間が省けます。
シティは、台湾、オーストラリア、香港、シンガポールをはじめ、アジアの銀行の1500万人の顧客向けに、この種の音声生体認証を展開し始めたところです。
シティは「フリースピーチ」方式を使用して、顧客とのより自然な会話をすぐに始めます...
言論の自由にはもう1つの利点があります。録音を使用して現実的な会話を偽造することは困難です。パスフレーズ方式を使用すると、詐欺師が顧客のフレーズを話すときに顧客の声を録音し、この高品質の録音を使用して、将来的にセキュリティを偽装しようとする可能性があります。
このシステムの欠点は、銀行が声紋を録音する前に顧客の許可を得る必要があることです。
2018年から、欧州連合の一般データ保護規則により、組織はあなたに関してどのデータを収集するか、その目的のために、そしてあなたの明確な同意を得ることを組織に要求します。
一部の顧客はノーと言いますが、通常は約4分の1だけだとトムソン氏は言います。シティのアジアの取り組みはこれを裏付け、75%の取り込みがこれまでのところあります。
そして、今後5年間でテクノロジーの価格が安くなると、間もなく駐車メーター、自動販売機、ロボットホテルのコンシェルジュ、運転手なしのタクシーと話をして料金を支払い、チェックインするようになります。
人々の声はpublicです。つまり、録音/処理/再生が簡単であるため、通常のセキュリティに答えるよりもシステムをより安全にすることができますsecret質問?
(最後の段落は私を怖がらせます...)
これは悪用され、パスワードダンプの代わりに、攻撃者が音声サンプルダンプを取引し、パブリックドキュメントやYouTubeなどの場所から特定された音声サンプルの巨大なデータベースを構築するのが見られます。
これが悪い選択になる他の問題もここにあります。誰かが攻撃者を認証するように強制されたくなかった場合、もっともらしい否認はありません。 PINを使用すると、コードを忘れたと言うことができるかもしれませんが、あなたの声を忘れたと言うことはできません。
また、こじり耳や録音デバイスから言われていることを保護することができません。 ATMメーカーは、ATMでこれを難しい方法で学びました。現在、押されている数字を隠すためのシールドがあります。すでに存在するものと同様の攻撃が発生します。
最後に、攻撃者が誰かの声のサンプルを十分に大きくして、自分の声であなたが言いたいことを何でも言うことができるソフトウェアを用意するのは、あまりにも遠すぎますか?
クールな要素があるか、十分に大きな会社がそれを強制しているという理由だけで、テクノロジーがまだ成功する可能性はあると思いますが、これが現在のタスクに最適なセキュリティ管理であるとは私は思いません。
この は毎年 を次の大きなものとして表示し続けます。
この2014年の論文 リソース不足の言語の自動音声認識:調査。 Besacier、L.、Barnard、E.、Karpov、A.&&Schultz、T. (オープンアクセスではない)による音声通信では、最新の話者認識技術について説明しています。調査では、脆弱性と軍拡競争の可能性を認めながら、評価指標はまだ十分に堅牢ではないと結論付けています。このホワイトペーパーでは、大規模な導入の準備ができていることを示しているものはありません。
このコミュニティーにはすでに、バイオメトリクスの約束とリスクについて警告する投稿がたくさんあります(特に、取り消しできないため、 こちら を参照)。
人々の声は公開されています。つまり、録音/処理/再生が簡単であるため、通常のセキュリティの秘密の質問に答えるよりも、そのシステムをどのように安全にすることができますか?
これらすべての警告にもかかわらず、調査では、ノイズ、なりすまし、録音された再生などに直面した場合でも、FAR/FRR(False Accept/Reject Rate)が非常に低いconconeasuresが組み込まれた話者認識システムを示していることを認めなければなりません。
一方、セキュリティの質問への回答はほとんど秘密にされておらず、ソーシャルエンジニアリングが容易であり、適切なセキュリティを提供することはめったにありません( これを覚えていますか? )
したがって、少なくともサポートと対話するためのバックアップ認証システムとして、音声が「セキュリティの質問」に取って代わることはもっともらしいようです。ボトルネックは、しばらくの間、主にプライバシーの問題でした。それがうまくいかない場合、それはサポートの相互作用のための現在の認証システムが人間のループであり、だましやすいためです。これは安価で体系的です。
バイオメトリクスのこの広範な採用が本当に拡大できるかどうかについて、私は 自分自身の懸念 を持っていますが、それは避けられないようです。
「ユーザー名」とパスワード
バイオメトリクスはあなたに一意に関連付けられていますが、コピー/偽造する可能性があり、誤って(何も認証するつもりがない場合に)配布され、変更することはほぼ不可能です。つまり、音声を含む生体認証は、ユーザー名や顧客IDなどの要素に代わる優れた手段ですが、「知っているもの」や「持っているもの」などの追加の確認要素が必要になります。
ログインに2つのものが必要になるというかなり一般的な方法と比較して-ユーザーIDとしての電子メールアドレスと、通常は短く単純でクラックされる可能性のあるパスワード。これをemail + voiceで置き換えるとリスクは変わりますが、IMHOはリスクを少し悪化させますが、voice + passwordで置き換えると(パスワードが以前と同じように悪かったとしても)、大幅に改善されます。
金融認証の場合、経験則として、「顧客の両親、子供、または配偶者はこれらの基準を満たすことができますか?」 -「はい」の場合、これらの基準は財務認証には不十分です。音声バイオメトリクスだけでは、家族全員が簡単に記録できるため、このテストに明らかに失敗します。
最後に、攻撃者が誰かの声の十分に大きなサンプルを用意して、自分の声で伝えたいことを発言できるソフトウェアを用意するのは、あまりにも遠すぎますか?
Adobe VoCo を使用すると、新しい単語を入力するだけで、ナレーションの単語を変更できます。
BBCの記事から: Adobe Voco 'Photoshop-for-voice'が懸念を引き起こす
リスクは、人々がだまされて、他の人が言っていないことを言っていると思ってしまうことにとどまりません。 銀行やその他の企業は、声紋チェックを使用して、電話をかけたときに顧客が本人であることを確認することを開始しました。音声波形Image copyrightあるサイバーセキュリティ研究者は、Adobeの発明のようなものを長い間予期していたと述べました。 「テクノロジーは新しいが、その基本的な原理はしばらく理解されてきた」とロンドン大学ユニバーシティカレッジのスティーブンマードック博士は述べた。 「バイオメトリック企業は、彼らが探しているものが人間を識別するときに人間が探すものと同じではないため、これによってだまされないだろうと言います。しかし、見つける唯一の方法はそれらをテストすることです。答えがわかるまでにはしばらく時間がかかります。」
また、この記事から:Adobeの新しい「Photoshop for voice」アプリでは、人の口に言葉を入れることができます-sciencealert.com
アドビはProject VoCoの誤用の可能性を認識しているなので、録音が改ざんされていないかどうかを検出できるようにする技術に既に取り組んでいます–非表示のオーディオ透かしの埋め込みなどデジタルバンキングなどのシステムで使用される音声セキュリティ機能をトリガーする可能性があります。