Hlavní navigace

Jen hlas k zabezpečení nestačí. Bude to chtít ještě tajná hesla

Petr Schwarz

Některé společnosti začaly svým zákazníkům nabízet možnost zřízení hlasového hesla, jehož hlavní výhodou by měla být absolutní bezpečnost. Ale…

Britská BBC nedávno upozornila na test svého reportéra, který ukazuje, že použití hlasového hesla jako jediného bezpečnostního prvku citlivá data zákazníků neuchrání.

Reportér Dan Simmons se rozhodl zjistit, zda by se jeho bratr (neidentické dvojče) dokázal dostat přes hlasové heslo jeho bankovního účtu. Ten má zřízen u britské HSBC, jedné z největších bankovních organizací na světě, která svůj systém hlasové identifikace zavedla právě pro předcházení bankovním podvodům. 

Reportérův bratr se přes telefon pokusil napodobit hlas svého dvojčete a na osmý pokus se do bankovnictví skutečně dostal. Získal tak přístup k citlivým údajům včetně zůstatku na účtu a posledním provedeným transakcím.

Selhání bylo nevyhnutelné

Osobně jsem podobné selhání systému rozpoznávání hlasu očekával již delší dobu. Jde ostatně o jeden z důvodů, proč bankám v rámci nabídky systémů na ochranu zákazníků místo obyčejného hlasového hesla doporučujeme spíše systémy na odhalování podvodu pomocí služby background verification během hovoru (biometrie hlasu je kontrolována přímo v call centru). 

Jelikož i ty nejlepší systémy na identifikaci hlasu mají chybovost zhruba 1 % EER, měl by design těchto opatření odpovídat případu užití. V bankách ale existují dvě hlavní skupiny – marketing a bezpečnost –, které mezi sebou neustále soupeří. 

Bezpečnost pak bohužel někdy musí ustoupit uživatelskému pohodlí. Ve výsledku pak tyto ústupky mohou vést ke zvýšení počtu případů, kdy je hlas rozpoznán chybně (o 5–10 %).

Navíc je třeba brát v potaz, že v populaci existují lidé s velmi specifickým hlasem, ale také lidé s hlasem průměrným, u kterých je rozpoznávání hlasu pochopitelně méně spolehlivé. 

Klíčová je také adekvátní kalibrace pro jednotlivého uživatele – nevím, zda v případě systému banky HSBC proběhla správně. Lidé s průměrným hlasem by pro dosažení stejného stupně ochrany měli být požádáni o namluvení delších vět, případně opakovat jednu větu vícekrát.

Co přinese budoucnost?

Další významný problém pak bezpochyby představuje syntetizace řeči. Ačkoliv na její odhalení existují spolehlivé algoritmy, i ty mají svá omezení. 

Vyžadují totiž úplnou kontrolu nad záznamem a přenosem zvuku, jako je tomu třeba v případě pořízení nahrávky pomocí aplikace na chytrém telefonu a přenos zvuku pomocí vlastního protokolu (nebo pomocí systému identifikace hlasu v zařízení). 

Jinak jsou systémy syntetizace řeči nerozeznatelné od klasických kodeků, které zpracovávají řeč. Pokud by tak byl signál přenášen například přes veřejnou telefonickou síť, šlo by případnou úpravu hlasu odhalit jen těžko. 

WT100

V poslední době také dochází k rozvoji systémů syntetizace řeči (nebo upravování hlasu) pracujících na základě neuronových sítí. Nejsem si jist, zda tento způsob i nadále do nějaké míry zpracovává data na základě snímkování (současné způsoby detekce falšování se obvykle zaměřují na pozůstatky tohoto způsobu zpracování). I tak ale bude u řeči zpracované těmito systémy odhalení případných úprav či syntetizace velmi obtížné.

Osobně se domnívám, že se časem dostaneme do bodu, kdy bude rozpoznání přirozené řeči od té uměle vytvořené již zcela nemožné; tedy že se nám podaří vytvořit dokonalé matematické modely lidského mluvícího ústrojí. Jediným způsobem, jak dosáhnout skutečně bezpečných hlasových systémů (aniž bychom museli neustále bojovat proti syntetizátorům řeči), tak je zkombinovat lidské mluvící ústrojí s nějakým tajným heslem. Tím mohou být namluvená hesla, odpovědi na osobní otázky nebo slova, která by daná osoba v běžné řeči nepoužila.

Našli jste v článku chybu?