image

Tweeling misleidt stemidentificatie Britse bank HSBC

maandag 22 mei 2017, 13:03 door Redactie, 16 reacties

Een twee-eiige tweeling is erin geslaagd de stemidentificatie van de Britse HSBC Bank te omzeilen. Voice ID laat bankklanten via hun stem telefonisch bankieren. Volgens de bank is het eenvoudiger en veiliger om bankrekeningen via telefonisch bankieren te benaderen.

Om van de dienst gebruik te maken moet een gebruiker eerst een "voiceprint" aanmaken door vijf keer de zin "My voice is my password" te zeggen. Hierna is het niet meer nodig om met codes of wachtwoorden te werken. Het zeggen van deze zin is voldoende om toegang te krijgen. Een BBC-verslaggever had stemidentificatie voor zijn HSBC-rekening ingesteld. Vervolgens liet hij zijn twee-eiige tweelingbroer opbellen.

Die bleek na zeven mislukte pogingen bij de achtste poging ook toegang tot het account te krijgen. De bank heeft aangegeven dat het naar manieren gaat kijken om het systeem veiliger te maken. Volgens een woordvoerder van HSBC hebben tweelingen gelijke voiceprints, maar heeft de introductie van stemidentificatie voor een grote vermindering van fraude gezorgd en is het veiliger dan pincodes en wachtwoorden.

Reacties (16)
22-05-2017, 13:27 door Anoniem
Veiliger maken? Echte veiligheid? Niet op biometrie vertrouwen.

Maar hee, als je graag jezelf voor de gek wil houden dan is biometrie helemaal supergaaf en fixie hip, weetsjewel. Want je in een hollywoodfilm wanen geeft echt een veilig gevoel, gewoon.
22-05-2017, 13:58 door Briolet
Volgens een woordvoerder van HSBC hebben tweelingen gelijke voiceprints

Maar dit zijn twee-eiige tweelingen. Dus eigenlijk gewone broers die even oud zijn.
22-05-2017, 14:08 door Anoniem
En dit is gewoon op te nemen en terug te spelen, zelfs digitaal als je de laatste voice editing software van Adobe kan geloven.

Als "toevoeging" is het leuk, maar los heeft het geen meerwaarde.
22-05-2017, 14:27 door karma4
Door Anoniem: Veiliger maken? Echte veiligheid? Niet op biometrie vertrouwen. .. .
Een slechte implementatie is nog geen bewijs dat het concept niet deugt. Biometrie is ds ultieme oplossing zodra alles van je lichaam en geest klopt is er geen bewijs meer te leveren dat het de persoon niet is.

Het gebruik van admin/admin 12345678 qwerty 12 als User password oplossingen zijn in het geheel niet veilig. Om dan te zeggen dat het hele mechanisme niet deugt is te kort door de bocht. Na 7 keer herhalen pad een hit, hoe zat het ook alweer met pogingen om passwords te kraken....
22-05-2017, 14:43 door Anoniem
Door karma4:
Door Anoniem: Veiliger maken? Echte veiligheid? Niet op biometrie vertrouwen. .. .
Een slechte implementatie is nog geen bewijs dat het concept niet deugt. Biometrie is ds ultieme oplossing zodra alles van je lichaam en geest klopt is er geen bewijs meer te leveren dat het de persoon niet is.

Het gebruik van admin/admin 12345678 qwerty 12 als User password oplossingen zijn in het geheel niet veilig. Om dan te zeggen dat het hele mechanisme niet deugt is te kort door de bocht. Na 7 keer herhalen pad een hit, hoe zat het ook alweer met pogingen om passwords te kraken....

Probleem met biometrie ipv wachtwoord is dat je je wachtwoord kan veranderen als die geconpromitteerd is. Je stem/iris/vingerafdruk veranderen is wat lastiger..
22-05-2017, 15:04 door _R0N_
Misschien is het grootste probleem wel dat je 7x mag proberen...
22-05-2017, 15:20 door [Account Verwijderd] - Bijgewerkt: 22-05-2017, 15:21
[Verwijderd]
22-05-2017, 15:58 door karma4
Door OpenXOR:
Biometrie voor authenticatie is als één en hetzelfde wachtwoord voor alle systemen, waarbij je het wachtwoor ....
Het doel van autenticatie is het bewijs leveren dat de bewering wie je bent (dat accout) ook klopt. Het bewijs via een password is een omweg met iets dat je weet. Het ultieme bewijs is de overeenstemming als biometrische gegeven, vingerafdruk dna irisscan stem oor gezicht echt alles.

Een nogal zwakke aanpak als password iets weten moet je niet als imentatatie doortrekken naar iets anders.
22-05-2017, 16:15 door Anoniem
Door karma4:
Door Anoniem: Veiliger maken? Echte veiligheid? Niet op biometrie vertrouwen. .. .
Een slechte implementatie is nog geen bewijs dat het concept niet deugt.
Gewoon je vingers in je oren en heel hard "LALALALALA IK HOOR JE NIET IK HOOR JE NIET LALALALALA" blijven roepen en mischien dat ergens in de toekomst de techniek je wensdenken kan bijbenen. Het is wat de industrie doet dus moet het goed zijn. Jouw geloofsbrieven zijn hiermee in orde bevonden en dus ga je een gouden toekomst tegemoet in diezelfde industrie. Succes verzekerd!

Biometrie is ds ultieme oplossing zodra alles van je lichaam en geest klopt is er geen bewijs meer te leveren dat het de persoon niet is.
En als je niet kan bewijzen dat jij het toch niet was, dan was je het dus wel. Q.E.D. alsook SCHULDIG en klaar is de bank, of TLS, of wie dan ook. Dat gezeur van "schuldig tot het tegendeel bewezen" is dan ook zo achterhaald. Weg met oud gezeur, op naar de gouden toekomst!

Door karma4:
Het doel van autenticatie is het bewijs leveren dat de bewering wie je bent (dat accout) ook klopt. Het bewijs via een password is een omweg met iets dat je weet. Het ultieme bewijs is de overeenstemming als biometrische gegeven, vingerafdruk dna irisscan stem oor gezicht echt alles.
Dit is waar want het blijkt keer op keer echt onmogelijk om biometrie te omzeilen.

En dat gedoe met sloten kunnen vervangen als de sleutel gejat of verloren of gewoon niet door je ex teruggegeven is? Nergens voor nodig. "WANT BIOMETRIE!" Heel goed, karma4, je hebt het helemaal begrepen.
22-05-2017, 16:19 door Briolet
Door _R0N_: Misschien is het grootste probleem wel dat je 7x mag proberen...

Erger…

Er staat nergens dat 7x het maximum is. In het bronartikel staat ook een voorbeeld waarbij men 20x foutieve inlogpogingen kon doen, waarna men alsnog kon inloggen. Misschien is het aantal pogingen nog veel hoger, of zelfs ongelimiteerd.
22-05-2017, 17:37 door karma4
Door Anoniem:.....
Dit is waar want het blijkt keer op keer echt onmogelijk om biometrie te omzeilen..
Ik zou zeggen stop je vingers in je oren als de aanklager komt met passend vingerdrukmateriaal en dna materiaal op de plaats van delict. Als jij niets kan inbrengen dat het bewijsmateriaal gefalsificeerd is doordat je b.v. overtuigend elders was dan we het een volkomen logisch gevolg is , dan hang je met de handen op de rug.
Enkele cold cases zijn recent zo aangepakt ter ontlasting van iemand en als bewijs van een onopgelost iets.
22-05-2017, 18:35 door Anoniem
Door karma4:
Door Anoniem:.....
Dit is waar want het blijkt keer op keer echt onmogelijk om biometrie te omzeilen..
Ik zou zeggen stop je vingers in je oren als de aanklager komt met passend vingerdrukmateriaal en dna materiaal op de plaats van delict.
Oh, zeg dat dan meteen. We zijn allemaal toch al crimineel. Nouja, dan is biometrie overal zeker dubbelplus helemaal prima en okee natuurlijk.
22-05-2017, 20:18 door Anoniem
Door karma4:
Door Anoniem: Veiliger maken? Echte veiligheid? Niet op biometrie vertrouwen. .. .
Een slechte implementatie is nog geen bewijs dat het concept niet deugt. Biometrie is ds ultieme oplossing zodra alles van je lichaam en geest klopt is er geen bewijs meer te leveren dat het de persoon niet is.

Het gebruik van admin/admin 12345678 qwerty 12 als User password oplossingen zijn in het geheel niet veilig. Om dan te zeggen dat het hele mechanisme niet deugt is te kort door de bocht. Na 7 keer herhalen pad een hit, hoe zat het ook alweer met pogingen om passwords te kraken....

Laten we hier een goede insteek op nemen; als een wachtwoord met 7 bruteforce-pogingen gekraakt kan worden... wat zegt dat over het wachtwoord?

Duidelijk wordt uit dit voorbeeld dat wss een deel van de methodiek zo toegepast wordt om bij lagere geluidskwaliteit wel te kunnen authenticeren; wedden dat dit de zwakte indirect veroorzaakt?

Zie het dan als een gebruteforced wachtwoordveld wat nog een extra handje geholpen kan/zal worden...
22-05-2017, 20:52 door Ron625
Door karma4:Biometrie is ds ultieme oplossing zodra alles van je lichaam en geest klopt is er geen bewijs meer te leveren dat het de persoon niet is.
Dat is de omgekeerde wereld.
Je moet bewijzen wie je wel bent, zij moeten niet bewijzen wie je niet bent.
23-05-2017, 10:28 door Anoniem
Volgens een woordvoerder van HSBC [...] heeft de introductie van stemidentificatie voor een grote vermindering van fraude gezorgd en is het veiliger dan pincodes en wachtwoorden.
Is het veiliger of moeten de aanvallers nog ingesteld raken op stemidentificatie? Als je een pincode drie keer verkeerd opgeeft wordt de toegang geblokkeerd (bij de banken die ik gebruik althans). Bij HSBC kan je kennelijk de vervanging voor de pincode minstens zeven keer verkeerd opgeven zonder dat er iets geblokkeerd raakt. En aangezien het om een vaste zin gaat zou een geluidsopname wel eens voldoende kunnen zijn om bij een rekening te kunnen.

Ik heb altijd gevonden dat veiligheid een beetje ongemak mag opleveren. Een wereld waarin je geen huissleutels nodig hebt zou ook makkelijk zijn, maar het ongemak van een sleutelbos en een aantal keer per dag even naar de juiste sleutel moeten zoeken neem ik graag op de koop toe omdat het me nog veel grotere ellende bespaart. Niet alles hoeft zo makkelijk mogelijk gemaakt te worden, de optimale balans ligt niet bij het ultieme gemak.
24-05-2017, 12:34 door Anoniem
"My voice is my password" is exact dezelfde zin als uit een hacker film https://www.youtube.com/watch?v=-zVgWpVXb64
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.