Tweeling misleidt stemidentificatie Britse bank HSBC
Een twee-eiige tweeling is erin geslaagd de stemidentificatie van de Britse HSBC Bank te omzeilen. Voice ID laat bankklanten via hun stem telefonisch bankieren. Volgens de bank is het eenvoudiger en veiliger om bankrekeningen via telefonisch bankieren te benaderen.
Om van de dienst gebruik te maken moet een gebruiker eerst een "voiceprint" aanmaken door vijf keer de zin "My voice is my password" te zeggen. Hierna is het niet meer nodig om met codes of wachtwoorden te werken. Het zeggen van deze zin is voldoende om toegang te krijgen. Een BBC-verslaggever had stemidentificatie voor zijn HSBC-rekening ingesteld. Vervolgens liet hij zijn twee-eiige tweelingbroer opbellen.
Die bleek na zeven mislukte pogingen bij de achtste poging ook toegang tot het account te krijgen. De bank heeft aangegeven dat het naar manieren gaat kijken om het systeem veiliger te maken. Volgens een woordvoerder van HSBC hebben tweelingen gelijke voiceprints, maar heeft de introductie van stemidentificatie voor een grote vermindering van fraude gezorgd en is het veiliger dan pincodes en wachtwoorden.
Reacties (16)
Veiliger maken? Echte veiligheid? Niet op biometrie vertrouwen.
Maar hee, als je graag jezelf voor de gek wil houden dan is biometrie helemaal supergaaf en fixie hip, weetsjewel. Want je in een hollywoodfilm wanen geeft echt een veilig gevoel, gewoon.
Maar hee, als je graag jezelf voor de gek wil houden dan is biometrie helemaal supergaaf en fixie hip, weetsjewel. Want je in een hollywoodfilm wanen geeft echt een veilig gevoel, gewoon.
22-05-2017, 13:58 door
Briolet
Volgens een woordvoerder van HSBC hebben tweelingen gelijke voiceprints
Maar dit zijn twee-eiige tweelingen. Dus eigenlijk gewone broers die even oud zijn.
En dit is gewoon op te nemen en terug te spelen, zelfs digitaal als je de laatste voice editing software van Adobe kan geloven.
Als "toevoeging" is het leuk, maar los heeft het geen meerwaarde.
Als "toevoeging" is het leuk, maar los heeft het geen meerwaarde.
22-05-2017, 14:27 door
karma4
Door Anoniem: Veiliger maken? Echte veiligheid? Niet op biometrie vertrouwen. .. .
Een slechte implementatie is nog geen bewijs dat het concept niet deugt. Biometrie is ds ultieme oplossing zodra alles van je lichaam en geest klopt is er geen bewijs meer te leveren dat het de persoon niet is.Het gebruik van admin/admin 12345678 qwerty 12 als User password oplossingen zijn in het geheel niet veilig. Om dan te zeggen dat het hele mechanisme niet deugt is te kort door de bocht. Na 7 keer herhalen pad een hit, hoe zat het ook alweer met pogingen om passwords te kraken....
Door karma4:
Het gebruik van admin/admin 12345678 qwerty 12 als User password oplossingen zijn in het geheel niet veilig. Om dan te zeggen dat het hele mechanisme niet deugt is te kort door de bocht. Na 7 keer herhalen pad een hit, hoe zat het ook alweer met pogingen om passwords te kraken....
Door Anoniem: Veiliger maken? Echte veiligheid? Niet op biometrie vertrouwen. .. .
Een slechte implementatie is nog geen bewijs dat het concept niet deugt. Biometrie is ds ultieme oplossing zodra alles van je lichaam en geest klopt is er geen bewijs meer te leveren dat het de persoon niet is.Het gebruik van admin/admin 12345678 qwerty 12 als User password oplossingen zijn in het geheel niet veilig. Om dan te zeggen dat het hele mechanisme niet deugt is te kort door de bocht. Na 7 keer herhalen pad een hit, hoe zat het ook alweer met pogingen om passwords te kraken....
Probleem met biometrie ipv wachtwoord is dat je je wachtwoord kan veranderen als die geconpromitteerd is. Je stem/iris/vingerafdruk veranderen is wat lastiger..
22-05-2017, 15:04 door
_R0N_
Misschien is het grootste probleem wel dat je 7x mag proberen...
22-05-2017, 15:20 door
[Account Verwijderd]
-
Bijgewerkt: 22-05-2017, 15:21
[Verwijderd]
22-05-2017, 15:58 door
karma4
Door OpenXOR:
Biometrie voor authenticatie is als één en hetzelfde wachtwoord voor alle systemen, waarbij je het wachtwoor ....
Het doel van autenticatie is het bewijs leveren dat de bewering wie je bent (dat accout) ook klopt. Het bewijs via een password is een omweg met iets dat je weet. Het ultieme bewijs is de overeenstemming als biometrische gegeven, vingerafdruk dna irisscan stem oor gezicht echt alles. Biometrie voor authenticatie is als één en hetzelfde wachtwoord voor alle systemen, waarbij je het wachtwoor ....
Een nogal zwakke aanpak als password iets weten moet je niet als imentatatie doortrekken naar iets anders.
Door karma4:
Gewoon je vingers in je oren en heel hard "LALALALALA IK HOOR JE NIET IK HOOR JE NIET LALALALALA" blijven roepen en mischien dat ergens in de toekomst de techniek je wensdenken kan bijbenen. Het is wat de industrie doet dus moet het goed zijn. Jouw geloofsbrieven zijn hiermee in orde bevonden en dus ga je een gouden toekomst tegemoet in diezelfde industrie. Succes verzekerd!Door Anoniem: Veiliger maken? Echte veiligheid? Niet op biometrie vertrouwen. .. .
Een slechte implementatie is nog geen bewijs dat het concept niet deugt.Biometrie is ds ultieme oplossing zodra alles van je lichaam en geest klopt is er geen bewijs meer te leveren dat het de persoon niet is.
En als je niet kan bewijzen dat jij het toch niet was, dan was je het dus wel. Q.E.D. alsook SCHULDIG en klaar is de bank, of TLS, of wie dan ook. Dat gezeur van "schuldig tot het tegendeel bewezen" is dan ook zo achterhaald. Weg met oud gezeur, op naar de gouden toekomst!Door karma4:
Het doel van autenticatie is het bewijs leveren dat de bewering wie je bent (dat accout) ook klopt. Het bewijs via een password is een omweg met iets dat je weet. Het ultieme bewijs is de overeenstemming als biometrische gegeven, vingerafdruk dna irisscan stem oor gezicht echt alles.
Dit is waar want het blijkt keer op keer echt onmogelijk om biometrie te omzeilen.Het doel van autenticatie is het bewijs leveren dat de bewering wie je bent (dat accout) ook klopt. Het bewijs via een password is een omweg met iets dat je weet. Het ultieme bewijs is de overeenstemming als biometrische gegeven, vingerafdruk dna irisscan stem oor gezicht echt alles.
En dat gedoe met sloten kunnen vervangen als de sleutel gejat of verloren of gewoon niet door je ex teruggegeven is? Nergens voor nodig. "WANT BIOMETRIE!" Heel goed, karma4, je hebt het helemaal begrepen.
22-05-2017, 16:19 door
Briolet
Door _R0N_: Misschien is het grootste probleem wel dat je 7x mag proberen...
Erger…
Er staat nergens dat 7x het maximum is. In het bronartikel staat ook een voorbeeld waarbij men 20x foutieve inlogpogingen kon doen, waarna men alsnog kon inloggen. Misschien is het aantal pogingen nog veel hoger, of zelfs ongelimiteerd.
22-05-2017, 17:37 door
karma4
Door Anoniem:.....
Dit is waar want het blijkt keer op keer echt onmogelijk om biometrie te omzeilen..
Ik zou zeggen stop je vingers in je oren als de aanklager komt met passend vingerdrukmateriaal en dna materiaal op de plaats van delict. Als jij niets kan inbrengen dat het bewijsmateriaal gefalsificeerd is doordat je b.v. overtuigend elders was dan we het een volkomen logisch gevolg is , dan hang je met de handen op de rug.Dit is waar want het blijkt keer op keer echt onmogelijk om biometrie te omzeilen..
Enkele cold cases zijn recent zo aangepakt ter ontlasting van iemand en als bewijs van een onopgelost iets.
Door karma4:
Oh, zeg dat dan meteen. We zijn allemaal toch al crimineel. Nouja, dan is biometrie overal zeker dubbelplus helemaal prima en okee natuurlijk.Door Anoniem:.....
Dit is waar want het blijkt keer op keer echt onmogelijk om biometrie te omzeilen..
Ik zou zeggen stop je vingers in je oren als de aanklager komt met passend vingerdrukmateriaal en dna materiaal op de plaats van delict.Dit is waar want het blijkt keer op keer echt onmogelijk om biometrie te omzeilen..
Door karma4:
Het gebruik van admin/admin 12345678 qwerty 12 als User password oplossingen zijn in het geheel niet veilig. Om dan te zeggen dat het hele mechanisme niet deugt is te kort door de bocht. Na 7 keer herhalen pad een hit, hoe zat het ook alweer met pogingen om passwords te kraken....
Door Anoniem: Veiliger maken? Echte veiligheid? Niet op biometrie vertrouwen. .. .
Een slechte implementatie is nog geen bewijs dat het concept niet deugt. Biometrie is ds ultieme oplossing zodra alles van je lichaam en geest klopt is er geen bewijs meer te leveren dat het de persoon niet is.Het gebruik van admin/admin 12345678 qwerty 12 als User password oplossingen zijn in het geheel niet veilig. Om dan te zeggen dat het hele mechanisme niet deugt is te kort door de bocht. Na 7 keer herhalen pad een hit, hoe zat het ook alweer met pogingen om passwords te kraken....
Laten we hier een goede insteek op nemen; als een wachtwoord met 7 bruteforce-pogingen gekraakt kan worden... wat zegt dat over het wachtwoord?
Duidelijk wordt uit dit voorbeeld dat wss een deel van de methodiek zo toegepast wordt om bij lagere geluidskwaliteit wel te kunnen authenticeren; wedden dat dit de zwakte indirect veroorzaakt?
Zie het dan als een gebruteforced wachtwoordveld wat nog een extra handje geholpen kan/zal worden...
22-05-2017, 20:52 door
Ron625
Door karma4:Biometrie is ds ultieme oplossing zodra alles van je lichaam en geest klopt is er geen bewijs meer te leveren dat het de persoon niet is.
Dat is de omgekeerde wereld.Je moet bewijzen wie je wel bent, zij moeten niet bewijzen wie je niet bent.
Volgens een woordvoerder van HSBC [...] heeft de introductie van stemidentificatie voor een grote vermindering van fraude gezorgd en is het veiliger dan pincodes en wachtwoorden.
Is het veiliger of moeten de aanvallers nog ingesteld raken op stemidentificatie? Als je een pincode drie keer verkeerd opgeeft wordt de toegang geblokkeerd (bij de banken die ik gebruik althans). Bij HSBC kan je kennelijk de vervanging voor de pincode minstens zeven keer verkeerd opgeven zonder dat er iets geblokkeerd raakt. En aangezien het om een vaste zin gaat zou een geluidsopname wel eens voldoende kunnen zijn om bij een rekening te kunnen.Ik heb altijd gevonden dat veiligheid een beetje ongemak mag opleveren. Een wereld waarin je geen huissleutels nodig hebt zou ook makkelijk zijn, maar het ongemak van een sleutelbos en een aantal keer per dag even naar de juiste sleutel moeten zoeken neem ik graag op de koop toe omdat het me nog veel grotere ellende bespaart. Niet alles hoeft zo makkelijk mogelijk gemaakt te worden, de optimale balans ligt niet bij het ultieme gemak.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
