image

Bank verifieert klanten via stemherkenning

dinsdag 14 mei 2013, 13:41 door Redactie, 8 reacties

Klanten van de Britse Barclays Bank hoeven geen beveiligingsvragen meer te beantwoorden als ze de bank bellen. De bank heeft namelijk een nieuwe authenticatiemethode uitgerold waarbij klanten aan de hand van hun stem worden geverifieerd. Voorheen moesten klanten die toegang tot hun rekening wilden verschillende beveiligingsvragen beantwoorden.

Zodra een klant nu de bank belt wordt er een gesprek van tussen de 20 en 30 seconden gehouden, waarna de software de stem, die eerder is opgeslagen, verifieert. De bankmedewerker krijgt vervolgens een signaal of het om een legitieme klant gaat of niet.

Herkenning
Zodra de stem niet kan worden geverifieerd, of het transactiebedrag een bepaalde grens passeert, wordt het traditionele authenticatieproces gebruikt. Barclays is de eerste bank die passieve stembiometrie als authenticatie toepast.

Sinds de introductie door de bank zou 84% van de klanten aan de biometrische oplossing hebben meegedaan, waarbij 95% van de klanten succesvol tijdens de eerste keer werd herkend. Daarnaast zouden klanten zeer tevreden over de snelheid en het gebruiksgemak van het nieuwe authenticatiesysteem zijn.

Reacties (8)
14-05-2013, 14:33 door Anoniem
Fijn voor mensen met een flinke verkoudheid of een heftige allergie die de stem beinvloed.
14-05-2013, 14:56 door Anoniem
Mijn eerste gedachte:

Dus een crimineel hoeft me nu alleen nog maar op te nemen om m'n bankrekening leeg te roven?

Ik vraag me dan ook af of het process zodanig in elkaar gezet dat 't bijvoorbeeld ook herkend als de persoon gestressed is of onder druk staat?
Daarbij zou 't natuurlijk goed zijn als het gesprek interactief is en dat je dus bepaalde antwoorden moet geven die "random" zijn, of moeilijk te raden.

Iemand die meer informatie heeft hierover?
14-05-2013, 16:50 door Eric-Jan H te D
Ben benieuwd of dit in Nederland een kans heeft. Hier staat het opslaan van een vingerafdruk door de overheid al garant voor een storm van protest.
14-05-2013, 17:06 door Argot
Ik vraag me af of dit wel zo veilig is; als je een bandje laat afspelen met iemands stem, krijg je dan ook toegang tot de rekening van diegene? Of denk ik te simpel?
14-05-2013, 17:21 door Eric-Jan H te D
Door Argot: Ik vraag me af of dit wel zo veilig is; als je een bandje laat afspelen met iemands stem, krijg je dan ook toegang tot de rekening van diegene? Of denk ik te simpel?

Te simpel! Er wordt een gesprek gevoerd. Alleen een heel slim computerprogramma kan dan met vooraf opgenomen gespreksfragmenten dit systeem verslaan. Maar in een film heb ik dit al zien gebeuren (ik weet niet meer welke). En zoals vaak gezegd de werkelijkheid verslaat op den duur meestal nog steeds de meest waanzinnige fantasie.
14-05-2013, 18:06 door Eric-Jan H te D
[admin] Hou het ontopic svp [/admin]
14-05-2013, 22:08 door Anoniem
Door Eric-Jan H te A:
Door Argot: Ik vraag me af of dit wel zo veilig is; als je een bandje laat afspelen met iemands stem, krijg je dan ook toegang tot de rekening van diegene? Of denk ik te simpel?
Te simpel! Er wordt een gesprek gevoerd.
Een redelijk voorspelbaar gesprek, wat zich ook nog eens best aardig laat sturen.

Alleen een heel slim computerprogramma kan dan met vooraf opgenomen gespreksfragmenten dit systeem verslaan.
Waar heb jij een computerprogramma voor nodig? Een keyboard met wat samples van handige phrases en een klein beetje oefening is voldoende. (Typische techneutenfout: Dat de aanval ingewikkeld zou moeten zijn. Criminelen zijn niet zozeer slim danwel sluw, en weten vaak genoeg de aldus over het hoofd geziene simpele gaten uit te vogelen en te misbruiken.)

Nog mooier is een stemvervormer. Geen idee of die goed genoeg zijn om dit systeem om de tuin te leiden, maar er zijn vast mensen die zullen proberen uit te vogelen of en hoe het kan.

De onderdelen bestaan, de enige onbekende is het met succes aanelkaar knopen.
14-05-2013, 22:22 door Anoniem
Even voor de goede orde: De "bestaande" systemen zijn meestal maar wat brak. Je geboortedatum is een toegangssleutel, bijvoorbeeld. Staat ook op de identiteitskaart die je altijd bij je moet hebben, en vaak genoeg oh-zo-handig naast je bankpas in je portemonnee zit. Dan weet je zeg maar alles wat je nodig hebt om de bank te overtuigen.

En nog zo een paar instanties. Net als dat je tot BSN opgerekte SoFi nummer de functie vervult van een identiek wachtwoord voor alles en iedereen binnen de overheid (en de gezondheidszorg, en zo langzaamaan nog steeds meer). En oh ja, onderdeel is van je BTW nummer, en dus publieke informatie. Oeps.

Gek genoeg is het zelfs met de uiterst uitgekiende maatregelen van geboortedatum en pasnummer vragen nog beter beveiligd dan hun automatische systemen. Voor een "eenmalige machtiging" heb je eigenlijk alleen het bankrekeningnummer nodig; toestemmingscontrole geschiedt pas achteraf en na klachten van de klant.

En iets simpels als een vrij te kiezen wachtwoord (letterlijk een woord of een zinsnede, voor over de telefoon) heb ik nou nog nooit een bank over gehoord.

Dus al met al, inclusief makkelijk omzeilen per keyboard-met-samples, zou dit nog best eens een verbetering kunnen zijn. Maar dat weet je niet:

Merk ook op dat het alleen maar gaat over 95% true positives en dus impliciet 5% false negatives. Waar het echt om gaat zijn de false positives. Daar staat er niets over in. Lekker veilig, toch?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.