Bankdirecteur: stembiometrie wordt de standaard
Binnen twee tot drie jaar zal stembiometrie de standaard voor bedrijven en organisaties zijn voor het identificeren van mensen, zo stelt een directeur van de Britse bank Barclays. Eerder dit jaar voerde de bank een experiment met stembiometrie uit waarbij rijke klanten zich via hun stem konden identificeren. Er waren geen wachtwoorden of beveiligingsvragen meer nodig. Het experiment was zo'n succes dat de dienst nu onder alle 12 miljoen klanten wordt uitgerold.
Daarmee is Barclays een koploper op dit gebied, maar overige bedrijven zullen snel volgen, laat bankdirecteur Iain Hanlon tegenover de Associated Press weten. "Het algemene gevoel is dat stembiometrie binnen twee of drie jaar de facto standaard zal zijn." Volgens de leveranciers van dit soort biometrische oplossingen is iemands stem net zo uniek als een vingerafdruk. Daarbij wordt er ook naar zaken gekeken als tweelingen en mensen met een verkoudheid.
Stemprofielen
Om stembiometrie te kunnen gebruiken moet de stem van klanten wel eerst worden opgeslagen. Het is dan ook de verwachting dat de komende jaren er steeds meer stemprofielen zullen worden opgeslagen. De Turkse telecomaanbieder TurkCell beschikt inmiddels over een database van 10 miljoen stemprofielen. De Nieuw-Zeelandse Belastingdienst die ook met stembiometrie werkt vierde onlangs het 1 miljoenste stemprofiel. In Zuid-Afrika heeft de sociale dienst zo'n 7 miljoen stemprofielen verzameld om pensioenfraude tegen te gaan.
Sommige activisten maken zeer echter zorgen over de populariteit van stembiometrie. "Het is meer massasurveillance", zegt de Ierse privacyonderzoeker Sadhbh McCarthy. "Voor je het weet wordt het door de douane gebruikt en moet je in een microfoon spreken als je terug van vakantie komt."
Reacties (15)
En, wat gaat de bank doen met de database aan stemprofielen ? Gaat men daar zorgvuldig mee om, en houdt men dat vertrouwelijk ? Of is het een interessant nieuwe bron van inkomsten, aangezien andere partijen zonder meer geinteresseerd zullen zijn in deze informatie ?
Wat te doen als je verkouden bent? Dan klinkt je stem heel anders.
En er zit ook een behoorlijk verschil in opgewektheid tussen de laatste iPad aanschaffen en het moeten betalen van je belastingen...
En er zit ook een behoorlijk verschil in opgewektheid tussen de laatste iPad aanschaffen en het moeten betalen van je belastingen...
13-10-2014, 15:55 door
Erik van Straten
Volgens de leveranciers van dit soort biometrische oplossingen is iemands stem net zo uniek als een vingerafdruk.
Alleen nòg eenvoudiger te kopiëren...Het is en blijft drammen en doordrukken met die biometrie.
Het directe probleem is dat het wellicht geschikt is als gebruikersnaam, maar nooit als wachtwoord.
Het fundamentele probleem is een machtsonbalans die de mens tot trekpop van de techniek en de dier bestierende technocraten maakt. Precies het omgekeerde van wat we nodig hebben om de techniek te integreren in onze samenleving.
Het directe probleem is dat het wellicht geschikt is als gebruikersnaam, maar nooit als wachtwoord.
Het fundamentele probleem is een machtsonbalans die de mens tot trekpop van de techniek en de dier bestierende technocraten maakt. Precies het omgekeerde van wat we nodig hebben om de techniek te integreren in onze samenleving.
Toch mooi dat ze hier zo groot op inzetten. Dit was al achterhaald met de tape recorder. Nu, met digitale opname- en samplemogelijkheden? Je maakt een spraakgeneratorprofiel van je slachtoffer aan en draait een script af. Compleet automatiseerbare fraude, is dat niet handig?
Mooi, al die bezwaren die hier opgeworpen worden, alsof de ontwerpers daar niet aan gedacht zouden hebben.
Even op een rijtje:
Als je verkouden bent, klinkt je stem heel anders.
De computer heeft hier geen probleem mee. Die herkent je stem aan meer dan 40 unieke kenmerken. Mocht de computer toch niet 100% zeker zijn, dan kun je worden doorgezet naar een traditionele vorm van authenticatie.
Het is geschikt als gebruikersnaam, maar nooit als wachtwoord.
Aan de hand van het stemprofiel kun je zeker weten dat degene die je aan de lijn hebt, ook degene is waarvan je eerder het stemprofiel hebt vastgelegd. Mits die eerste stap goed gedaan is, is het een prima manier van authenticatie. Echt op basis van wie je bent (je persoon) en niet op basis van iets wat je weet (kennisvragen/passwords) of van wat je hebt (een token). Kennis en eigendommen zijn te stelen, een stem niet.
Achterhaald want je kunt gewoon een opname afspelen.
Tegenwoordig zijn de oplossingen in staat om je te authenticeren tijdens een normaal gesprek met een call center medewerker. De contact center medewerker ziet binnen 10-15 seconden of je bent wie je zegt dat je bent. Dan is het een beetje raar als je een opname probeert af te spelen.
Misschien werkt dit truukje nog wel bij de 'vocal-password' achtige oplossingen.
Even op een rijtje:
Als je verkouden bent, klinkt je stem heel anders.
De computer heeft hier geen probleem mee. Die herkent je stem aan meer dan 40 unieke kenmerken. Mocht de computer toch niet 100% zeker zijn, dan kun je worden doorgezet naar een traditionele vorm van authenticatie.
Het is geschikt als gebruikersnaam, maar nooit als wachtwoord.
Aan de hand van het stemprofiel kun je zeker weten dat degene die je aan de lijn hebt, ook degene is waarvan je eerder het stemprofiel hebt vastgelegd. Mits die eerste stap goed gedaan is, is het een prima manier van authenticatie. Echt op basis van wie je bent (je persoon) en niet op basis van iets wat je weet (kennisvragen/passwords) of van wat je hebt (een token). Kennis en eigendommen zijn te stelen, een stem niet.
Achterhaald want je kunt gewoon een opname afspelen.
Tegenwoordig zijn de oplossingen in staat om je te authenticeren tijdens een normaal gesprek met een call center medewerker. De contact center medewerker ziet binnen 10-15 seconden of je bent wie je zegt dat je bent. Dan is het een beetje raar als je een opname probeert af te spelen.
Misschien werkt dit truukje nog wel bij de 'vocal-password' achtige oplossingen.
Toch mooi dat ze hier zo groot op inzetten. Dit was al achterhaald met de tape recorder. Nu, met digitale opname- en samplemogelijkheden? Je maakt een spraakgeneratorprofiel van je slachtoffer aan en draait een script af. Compleet automatiseerbare fraude, is dat niet handig?
Ik ben het deels wel met je eens maar wat er aan de hand is bij een "voice protection" is dat deze voice bestanden anders en gescheiden opgeslagen worden daarnaast zijn deze bestanden goed gencrypt, dus ook al worden de voice files achterhaald als het wordt gelinked(zoals in two-factor authentication) aan een wachtwoord is alleen het voice bestand vrij nutteloos.
Daarnaast is er al genoeg software en mogelijkheden om het opnemen van voice bestanden of toegang proberen te verschaffen tot zogenaamde voiceguard servers te detecteren en dus kan er optijd aan de bel getrokken worden.
Natuurlijk gaat mijn bovenstaande statement in strijd met de hacker community want natuurlijk gaan hier nieuwe aanvallen voor komen die nog niet of lastigere detecteerbaar gaan worden.Dus ik ben verder wel benieuwd of er een 'uitbreiding' komt en wat side channel attacks voor dit soort techniek gaat betekenen. Zal er dieper in deze aanvals-techniek gedoken gaan worden om ook stembiometrie te kunnen kraken of gaan we tot de conclusie komen dat dit een waste of time gaat worden? De tijd zal het leren..
Door The Goovscoov:
Dat weerhoudt er mij van een praatje te maken met mijn beoogd slachtoffer en ondertussen het gesprek op te nemen?Toch mooi dat ze hier zo groot op inzetten. Dit was al achterhaald met de tape recorder. Nu, met digitale opname- en samplemogelijkheden? Je maakt een spraakgeneratorprofiel van je slachtoffer aan en draait een script af. Compleet automatiseerbare fraude, is dat niet handig?
Ik ben het deels wel met je eens maar wat er aan de hand is bij een "voice protection" is dat deze voice bestanden anders en gescheiden opgeslagen worden daarnaast zijn deze bestanden goed gencrypt, dus ook al worden de voice files achterhaald als het wordt gelinked(zoals in two-factor authentication) aan een wachtwoord is alleen het voice bestand vrij nutteloos.Vervolgens neem ik die opname en voer het aan een (wellicht open source, waarom niet) spraakgenerator en bel daarmee de bank voor wat overboekingen.
Je kan wel met encryptie dit en hakcur dat en side channel zus en diep-in-de-techniek zo lopen zwaaien, maar ik heb hier de spreekwoordelijke vijf dollar steeksleutel die al dat moois met een paar welgemikte tikken compleet buitenspel zet.
Dat was het punt. Heel typisch dat je dat compleet boven de pet gaat. *pats*
Door Anoniem: Mooi, al die bezwaren die hier opgeworpen worden, alsof de ontwerpers daar niet aan gedacht zouden hebben.
Dat hebben ze vaak genoeg niet nee. Er worden nog steeds vingerafdruksystemen in de markt gezet. En nu dus stemherkenningssystemen.Kennis en eigendommen zijn te stelen, een stem niet.
Mijn taperecorder is het niet met je eens.Tegenwoordig zijn de oplossingen in staat om je te authenticeren tijdens een normaal gesprek met een call center medewerker.
Zo worden ze verkocht. Maar vingerafdrukoplossingen die met gummibeertjes zijn te foppen worden ook nog steeds verkocht. En gluurscanners die wel kunnen gluren maar wapens of explosieven niet laten zien. En "state of the art" toegangsbeveiliging die in seconden te foppen bleek, zelfs de Belgische recherche trapte in de verkooppraatjes en bleef zitten met de blamage. Dat is dus geen garantie.De contact center medewerker ziet binnen 10-15 seconden of je bent wie je zegt dat je bent.
Hoe dan? Aan een popupje op z'n scherm? Die informatie komt van de "herkennings"software, en die waren we nou juist aan het foppen.Dan is het een beetje raar als je een opname probeert af te spelen.
Zoiets heet een "sample machine" of je maakt een heel stemprofiel voor een spraakgenerator. De techniek staat ook aan de andere kant niet stil.Dus wat dat betreft heb je eigenlijk helemaal niets weerlegd.
Het gaat hier om verificatie, en gelukkig niet om identificatie. Vergelijkbaar met de pincode bij je bankpas: Er zijn veel mensen met dezelfde pincode, maar hebben niet dezelfde bankpas.
Toch heeft deze methode een ernstige nadeel: Je loopt de hele dag je 'pincode' rond te bazuinen, en deze is ook nooit meer te wijzigen.
Daarnaast is de techniek (nog) te beperkt. Je zit niet in een lab-omgeving waar je die 40 (?) kenmerken feilloos kan achterhalen, maar je spreekt bijvoorbeeld tegen je gsm. Vanwege de bandbreedte/compressie valt juist veel van de herkenning weg. Ook achtergrondgeluiden zijn niet bevorderlijk.
Toch heeft deze methode een ernstige nadeel: Je loopt de hele dag je 'pincode' rond te bazuinen, en deze is ook nooit meer te wijzigen.
Daarnaast is de techniek (nog) te beperkt. Je zit niet in een lab-omgeving waar je die 40 (?) kenmerken feilloos kan achterhalen, maar je spreekt bijvoorbeeld tegen je gsm. Vanwege de bandbreedte/compressie valt juist veel van de herkenning weg. Ook achtergrondgeluiden zijn niet bevorderlijk.
Door Anoniem:
Dus wat dat betreft heb je eigenlijk helemaal niets weerlegd.
Door Anoniem: Mooi, al die bezwaren die hier opgeworpen worden, alsof de ontwerpers daar niet aan gedacht zouden hebben.
Dat hebben ze vaak genoeg niet nee. Er worden nog steeds vingerafdruksystemen in de markt gezet. En nu dus stemherkenningssystemen.Kennis en eigendommen zijn te stelen, een stem niet.
Mijn taperecorder is het niet met je eens.Tegenwoordig zijn de oplossingen in staat om je te authenticeren tijdens een normaal gesprek met een call center medewerker.
Zo worden ze verkocht. Maar vingerafdrukoplossingen die met gummibeertjes zijn te foppen worden ook nog steeds verkocht. En gluurscanners die wel kunnen gluren maar wapens of explosieven niet laten zien. En "state of the art" toegangsbeveiliging die in seconden te foppen bleek, zelfs de Belgische recherche trapte in de verkooppraatjes en bleef zitten met de blamage. Dat is dus geen garantie.De contact center medewerker ziet binnen 10-15 seconden of je bent wie je zegt dat je bent.
Hoe dan? Aan een popupje op z'n scherm? Die informatie komt van de "herkennings"software, en die waren we nou juist aan het foppen.Dan is het een beetje raar als je een opname probeert af te spelen.
Zoiets heet een "sample machine" of je maakt een heel stemprofiel voor een spraakgenerator. De techniek staat ook aan de andere kant niet stil.Dus wat dat betreft heb je eigenlijk helemaal niets weerlegd.
Ja, eigenlijk heb jij helemaal niets weerlegd. Komt even zonder kennis van de techniek stemherkenning vergelijken met fingerprint technologie en dingen die de Belgische recherche heeft gedaan.
'zo worden ze verkocht'... Nee, dat is gewoon aan te tonen.
Een sampler zou in de toekomst heel misschien in staat zijn om een stem goed te imiteren.
Er is geen enkel systeem waterdicht en stemherkenning is zeker een verbetering/aanvulling ten opzichte van kennis en eigendom gebaseerde authenticatie.
Je kan wel met encryptie dit en hakcur dat en side channel zus en diep-in-de-techniek zo lopen zwaaien, maar ik heb hier de spreekwoordelijke vijf dollar steeksleutel die al dat moois met een paar welgemikte tikken compleet buitenspel zet.
Dat was het punt. Heel typisch dat je dat compleet boven de pet gaat. *pats*
Dat was het punt. Heel typisch dat je dat compleet boven de pet gaat. *pats*
Jammer dat er weer zo idioot op gewoon normale statements gereageerd wordt zoals die van Goovscoov. Stembiometrie gaat nooit de engiste manier worden om een transactie te doen altijd in combinatie met een wachtwoord of pin of wat dan ook en dat is zijn punt!
Daarnaast zwaait hij niet met de techniek maar laat zoals ik het zie zijn gedachte los over het onderwerp en vraagt om een mening. Dus stop al die moeite maar ergens anders in met je opensource tape recorderdtjes en zus en zo en alles wat je in het reageer veld heb getyped en kom met normale reacties inplaats van dit soort onzinnigheid.....*pats*
Door Anoniem:
Want similes aandragen, hoe passend ook, mag alleen... wanneer precies?Dus wat dat betreft heb je eigenlijk helemaal niets weerlegd.
Ja, eigenlijk heb jij helemaal niets weerlegd. Komt even zonder kennis van de techniek stemherkenning vergelijken met fingerprint technologie en dingen die de Belgische recherche heeft gedaan.In plaats van dat je even aangeeft waarom jij vindt dat je het zoveel beter weet, want aan de buitenkant te zien is het niet.
Door Anoniem: Jammer dat er weer zo idioot op gewoon normale statements gereageerd wordt zoals die van Goovscoov.
Jammer dat je echt niets anders te melden hebt dan "nee! jij!" en wat steken onderwater.Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
