Biometría de voz para la autenticación financiera

18

De este artículo: enlace

  

Aparentemente, nos toma 45 segundos en promedio solo para confirmar quiénes somos   son.

     

Pero al usar computadoras para identificar nuestras voces, esta autenticación   El proceso puede reducirse a 15 segundos en promedio, ahorrando las ollas bancarias de   dinero en efectivo y nosotros un montón de problemas.

     

Citi acaba de comenzar a implementar este tipo de biometría de voz   autenticación para sus 15 millones de clientes bancarios asiáticos, a partir de   Taiwán, Australia, Hong Kong y Singapur.

     

Citi utiliza el método de "libertad de expresión" para comenzar un proceso más natural   conversación con el cliente inmediatamente ...

     

La libertad de expresión tiene otra ventaja: es más difícil falsificar un realista   Conversación mediante grabaciones. Con el método de contraseña es   Es plausible que los estafadores puedan grabar la voz de un cliente cuando él o ella   dice la frase y luego usa esta grabación de alta calidad para intentar   falsificar su camino a través de la seguridad en el futuro.

     

El inconveniente con el sistema es que los bancos necesitan obtener clientes '   permiso antes de grabar impresiones de voz.

     

A partir de 2018, el Reglamento general de protección de datos de la Unión Europea.   requerirá que las organizaciones digan qué datos recopilan sobre usted, por   para qué fines, y para obtener su consentimiento explícito.

     

Algunos clientes dicen que no, pero generalmente solo alrededor de un trimestre, dice la Sra.   Thomson. Los esfuerzos asiáticos de Citi parecen confirmarlo, con una captación del 75%.   hasta ahora.

     

Y como la tecnología se abarata en los próximos cinco años, podríamos   Pronto estaremos hablando con parquímetros, máquinas expendedoras, hotel robot.   conserjes y taxis sin conductor, para pagar las cosas y registrarse.

La voz de las personas es pública , lo que significa que es fácil de grabar / procesar / reproducir, por lo tanto, ¿cómo puede ese sistema ser más seguro que responder las preguntas habituales de seguridad secretas ?

(el último párrafo me asusta ...)

    
pregunta lepe 13.07.2016 - 07:30
fuente

4 respuestas

26

Se abusará de esto y, en lugar de volcados de contraseñas, veremos atacantes que intercambian volcados de muestras de voz y construyen enormes bases de datos de muestras de voz identificadas de documentos públicos y lugares como YouTube.

También hay otros problemas aquí que hacen que esta sea una mala elección. No hay posibilidad de negación plausible si alguien no quiere ser obligado a autenticar a un atacante. Con un PIN, podría decir que olvidó su código, no puede decir que olvidó su voz.

También existe la incapacidad de proteger lo que se dice de los oídos curiosos y los dispositivos de grabación. Los fabricantes de cajeros automáticos aprendieron esto de manera difícil con los cajeros automáticos y ahora tenemos protección para ayudar a ocultar qué números se presionan. Se producirán ataques similares a los que ya existen.

Finalmente, ¿es demasiado inverosímil que un atacante tenga una muestra suficientemente grande de la voz de alguien para tener algún software capaz de decir lo que quieras que diga en su propia voz?

Creo que la tecnología aún podría despegar simplemente por un factor interesante o porque una empresa lo suficientemente grande lo obliga, pero no estoy convencido de que este sea el mejor control de seguridad para la tarea en cuestión y comparto su preocupación.

    
respondido por el Trey Blalock 13.07.2016 - 07:57
fuente
19

Esta sigue apareciendo cada año como la gran cosa siguiente .

2016: Citi

2015: ING

2013: Barclays

Este documento de 2014 Reconocimiento de voz automático para idiomas con pocos recursos: una encuesta. Comunicación del habla por Besacier, L., Barnard, E., Karpov, A., & Schultz, T. (no acceso abierto) discute el estado del arte de las tecnologías de reconocimiento de altavoces. La encuesta concluye que las métricas de evaluación aún no son lo suficientemente sólidas, al tiempo que reconocen las vulnerabilidades y la probabilidad de una carrera armamentista. Nada en este documento indica la preparación para la adopción a gran escala.

Esta comunidad ya tiene muchas publicaciones que advierten sobre las promesas y los riesgos de la biometría (consulte aquí ) especialmente debido a la no revocabilidad.

  

La voz de la gente es pública, lo que significa que es fácil de grabar / procesar / reproducir, así que, ¿cómo puede ese sistema ser más seguro que responder las preguntas habituales sobre el secreto de seguridad?

A pesar de todas estas advertencias, debo admitir que la encuesta muestra sistemas de reconocimiento de altavoces con medidas incorporadas que tienen FAR / FRR (tasas de aceptación / rechazo) extremadamente bajas incluso cuando se enfrentan a ruido, suplantación, reproducción grabada, etc. .

Por otro lado, las respuestas a las preguntas de seguridad son difícilmente secretas, fáciles de diseñar socialmente y rara vez brindan seguridad adecuada ( recuerda esto? )

Por lo tanto, parece plausible que la voz reemplace las "preguntas de seguridad", al menos como un sistema de autenticación de respaldo para interactuar con el soporte. El cuello de botella ha sido en gran medida las preocupaciones de privacidad desde hace un tiempo. Si despega, es porque el sistema de autenticación actual para las interacciones de soporte tiene un humano en el bucle y más fácil de engañar; mientras que esto es más barato y sistemático.

Tengo mis propias preocupaciones acerca de si esta adopción generalizada de biométrica puede realmente escalar, pero parece inevitable.

    
respondido por el Jedi 13.07.2016 - 08:59
fuente
3

"Nombre de usuario" vs contraseña

La biometría está ligada únicamente a usted, pero es posible copiar / falsificar, es probable que se entregue de forma involuntaria (cuando no tiene la intención de autenticar nada) y es casi imposible cambiarla. Esto significa que la biometría, incluida la voz, es un excelente sustituto de factores como los nombres de usuario o las identificaciones de los clientes, pero aún así requeriría un factor de confirmación adicional como "algo que sabe" o "algo que tiene".

En comparación con la práctica bastante común de necesitar dos cosas para iniciar sesión: su dirección de correo electrónico como usuario-id y una contraseña que suele ser corta, simple y probablemente craqueable; reemplazarlo con correo electrónico + voz cambiaría los riesgos, pero en mi humilde opinión los empeoraría un poco, pero reemplazarlo con voz + contraseña (incluso si la contraseña es tan mala como antes) sería una gran mejora.

Para la autenticación financiera, una buena regla general es preguntar "¿Podrían los padres, hijos o cónyuge del cliente satisfacer estos criterios?" - En caso afirmativo, estos criterios no son suficientes para la autenticación financiera. La biometría de voz sola, obviamente, no supera esta prueba, ya que son triviales para que cualquier miembro de la familia pueda grabar.

    
respondido por el Peteris 13.07.2016 - 22:19
fuente
2
  

Finalmente, ¿es demasiado inverosímil que un atacante tenga una muestra suficientemente grande de la voz de alguien para tener algún software capaz de decir lo que quieras que diga en su propia voz?

Adobe VoCo le permite cambiar palabras en una voz en off simplemente escribiendo palabras nuevas.

Del artículo de la BBC: 'Photoshop-for-voice' de Adobe Voco causa preocupación

  

Los riesgos se extienden más allá de engañar a las personas para que piensen que otros dicen algo que no hicieron.    Los bancos y otras empresas han empezado a usar cheques de voz para verificar que los clientes son quienes dicen ser cuando llaman por teléfono.   Forma de onda de vozImage copyright   Un investigador de ciberseguridad dijo que las compañías involucradas habían anticipado por mucho tiempo algo como la invención de Adobe.   "La tecnología es nueva, pero sus principios subyacentes se han comprendido durante algún tiempo", dijo el Dr. Steven Murdoch, del University College London.   "Las compañías biométricas dicen que sus productos no serían engañados por esto, porque las cosas que están buscando no son las mismas que los humanos buscan cuando identifican personas.   "Pero la única forma de averiguarlo es probándolos, y pasará un tiempo antes de que sepamos la respuesta".

También de este artículo: La nueva aplicación 'Photoshop for voice' de Adobe te permite poner las palabras en boca de las personas: sciencealert.com

  

Adobe dice que está al tanto del potencial de uso indebido con Project VoCo ,   por lo que ya está trabajando en tecnologías que harán posible   Detectar si una grabación ha sido manipulada, como la incrustación.   marcas de agua de audio ocultas, que potencialmente podrían activar la voz   Funciones de seguridad utilizadas en sistemas como banca digital.

    
respondido por el nn7 02.01.2017 - 21:28
fuente

Lea otras preguntas en las etiquetas