BBC记者愚弄汇丰银行语音识别系统

BBC Click记者丹·西蒙于汇丰银行开户后，启用了汇丰的语音身份识别服务。汇丰曾经宣称这套系统绝对安全，因为“每个人的声音都是独一无二的”。然而丹的非同卵双胞胎却能模仿他的声音，通过电话银行进入丹的账户。

汇丰回应称将会根据BBC的调查结果改进语音安全系统。

Credit: 煎蛋画师Piccolo

“令人担忧”

汇丰银行于2016年开始提供语音安全系统服务，自称该系统会识别约百种人声的特征，据此识别用户身份。用户只需要给出账户信息、出生年月，然后说一句：“我的声音就是密码。”

虽然丹的兄弟不能利用这个漏洞从账户中取款，但是他可以查询余额和交易明细，甚至可以转账。

“我连续试了好几次都失败了，然而银行并没有设置尝试次数上限。我试了八次才成功，银行却没有察觉到任何异常。难道诈骗犯想试几次就试几次吗？”

BBC Click的另一位调查员故意在12分钟内连续失败20次，而汇丰语音安全系统仍然选择再给他一次机会。

汇丰声称在丹·西蒙之前没有模仿他人声音进入账户的先例，并且对系统现在的安全情况无可奉告。发言人称：“客户的账户安全是我们的头等大事。语音识别系统的确在识别客户身份方面十分可靠。双胞胎的声音的确很相似，但我们要注意到这套系统启用后，银行诈骗案发生率显著降低了。语音识别比起PIN码或密码安全得多。”

Credit: 煎蛋画师Piccolo

账户敞开

“震惊！”Firstbase Technologies的安全专家麦克·麦克劳林如是说，“这本不该发生。其他人怎么能进入你的账户呢？没错，声音是独一无二的——但如果系统容错率太高，那么这个系统就是不安全的。不客气地说，汇丰的安全系统并不安全。”

弗拉迪米奥·萨松教授任教于南安普顿大学，专攻网络安全。他认为生物识别的确是安全系统重要的一环，但如果完全寄希望于某一项并非绝对可靠的检查是很危险的。萨松教授说：“理论上语音识别的容错率应该为零。第一次就应该尝试成功。毕竟语音识别不像密码一样，你不会忘记自己的声音，也不会‘输入错误的声音’。银行应该允许用户最多尝试两次，如果仍不符合就应该引起警惕。”萨松教授认为利用生物特征识别会大大增加黑客攻入账户的难度，但如果罪犯复制了生物特征，用户并不能因此改变自己的声音、长相或者指纹——而密码可以。“你该怎么证明那个进入账户的人不是你自己？而且银行还觉得自己的安全系统无懈可击。”

任教于萨里大学的安全专家阿兰·伍德沃德认为：仅仅依靠一项生物特征识别身份极其危险，无论这项特征有多么独一无二都不代表绝对安全。“历史上通过复制生物特征绕过身份识别的例子数不胜数。例如指纹就可以通过小熊软糖或者一张照片复制。因此生物特征识别需要像其它方式一样推陈出新，否则就会跟不上日益发达的技术。安全从来就是一场猫捉老鼠的游戏。”

伍德沃德告诉我们：汇丰银行需要重新审视身份识别系统，最好除了语音识别再加上另一项生物特征辅助识别。“比如加上一串密码或者安保问题，这样的安保系统更难被破解。”

一些高科技公司不仅仅担忧人类模仿人声骗过计算机的可能性，计算机也是潜在的模仿者之一。一家名为Lyrebird的初创公司正在研发一项新技术，根据几分钟的录音就可以模仿对应的人声。公司创立者乔斯·索莱托承认这项技术会对识别系统“产生影响”。他说：“我们正与安全专家探讨共同发展的方法。我们至今没有把技术公开是有原因的。新技术带来的影响其实挺吓人的，但我们坚信我们会谨慎地使用这项技术，不盲目惧怕，尝试将其优点发扬光大。我们正在考虑给机器产生的音频加上‘水印’，这样就能识别出这段音频究竟是不是人工合成的。”

本文译自 BBC，由 花生 编辑发布。
作者：Dan Simmons