安全警示
BBC记者愚弄汇丰银行语音识别系统
BBC Click记者丹·西蒙于汇丰银行开户后,启用了汇丰的语音身份识别服务。汇丰曾经宣称这套系统绝对安全,因为“每个人的声音都是独一无二的”。然而丹的非同卵双胞胎却能模仿他的声音,通过电话银行进入丹的账户。
汇丰回应称将会根据BBC的调查结果改进语音安全系统。
Credit: 煎蛋画师Piccolo
“令人担忧”
汇丰银行于2016年开始提供语音安全系统服务,自称该系统会识别约百种人声的特征,据此识别用户身份。用户只需要给出账户信息、出生年月,然后说一句:“我的声音就是密码。”
虽然丹的兄弟不能利用这个漏洞从账户中取款,但是他可以查询余额和交易明细,甚至可以转账。
“我连续试了好几次都失败了,然而银行并没有设置尝试次数上限。我试了八次才成功,银行却没有察觉到任何异常。难道诈骗犯想试几次就试几次吗?”
BBC Click的另一位调查员故意在12分钟内连续失败20次,而汇丰语音安全系统仍然选择再给他一次机会。
汇丰声称在丹·西蒙之前没有模仿他人声音进入账户的先例,并且对系统现在的安全情况无可奉告。发言人称:“客户的账户安全是我们的头等大事。语音识别系统的确在识别客户身份方面十分可靠。双胞胎的声音的确很相似,但我们要注意到这套系统启用后,银行诈骗案发生率显著降低了。语音识别比起PIN码或密码安全得多。”
Credit: 煎蛋画师Piccolo
账户敞开
“震惊!”Firstbase Technologies的安全专家麦克·麦克劳林如是说,“这本不该发生。其他人怎么能进入你的账户呢?没错,声音是独一无二的——但如果系统容错率太高,那么这个系统就是不安全的。不客气地说,汇丰的安全系统并不安全。”
弗拉迪米奥·萨松教授任教于南安普顿大学,专攻网络安全。他认为生物识别的确是安全系统重要的一环,但如果完全寄希望于某一项并非绝对可靠的检查是很危险的。萨松教授说:“理论上语音识别的容错率应该为零。第一次就应该尝试成功。毕竟语音识别不像密码一样,你不会忘记自己的声音,也不会‘输入错误的声音’。银行应该允许用户最多尝试两次,如果仍不符合就应该引起警惕。”萨松教授认为利用生物特征识别会大大增加黑客攻入账户的难度,但如果罪犯复制了生物特征,用户并不能因此改变自己的声音、长相或者指纹——而密码可以。“你该怎么证明那个进入账户的人不是你自己?而且银行还觉得自己的安全系统无懈可击。”
任教于萨里大学的安全专家阿兰·伍德沃德认为:仅仅依靠一项生物特征识别身份极其危险,无论这项特征有多么独一无二都不代表绝对安全。“历史上通过复制生物特征绕过身份识别的例子数不胜数。例如指纹就可以通过小熊软糖或者一张照片复制。因此生物特征识别需要像其它方式一样推陈出新,否则就会跟不上日益发达的技术。安全从来就是一场猫捉老鼠的游戏。”
伍德沃德告诉我们:汇丰银行需要重新审视身份识别系统,最好除了语音识别再加上另一项生物特征辅助识别。“比如加上一串密码或者安保问题,这样的安保系统更难被破解。”
一些高科技公司不仅仅担忧人类模仿人声骗过计算机的可能性,计算机也是潜在的模仿者之一。一家名为Lyrebird的初创公司正在研发一项新技术,根据几分钟的录音就可以模仿对应的人声。公司创立者乔斯·索莱托承认这项技术会对识别系统“产生影响”。他说:“我们正与安全专家探讨共同发展的方法。我们至今没有把技术公开是有原因的。新技术带来的影响其实挺吓人的,但我们坚信我们会谨慎地使用这项技术,不盲目惧怕,尝试将其优点发扬光大。我们正在考虑给机器产生的音频加上‘水印’,这样就能识别出这段音频究竟是不是人工合成的。”
本文译自 BBC,由 花生 编辑发布。
作者:Dan Simmons