Comments 45
Пламенный привет всем апологетам голосовой биометрии, особенно в банковском деле.
Думаю распределение реального человека произносящего определенную фразу не такое как сбилженная фраза. Но эт не точно, так как усредняется
Помнится, на хабре была статья, что британские учёные специально подобранным шумом смогли заставить "умную колонку" проверить, что была сказана фраза активации. Найти статью сейчас не могу, но нашёл подобное для автопилотов, когда шум заставлет его поверить, что ему предъявлено совсем не то.
не такое как сбилженная фразаЭто потому что решается задача обмануть человека. А если будет задача обмануть биометрический аутентификатор, она тоже будет решена, ведь в голосе нет никаких секретов, неизвестных злоумышленнику.
Как ИТшник интуитивно понимал опасность этого новшества и отказался некоторое время назад, несмотря на навязчивость банка.
А ведь предки предупреждали:
Я бы вообще передал привет всем любителям биометрии. Похоже, люди не понимают, что ключ (голос, отпечаток и т.д.) нельзя заменить в случае компрометации. Остаётся только верить в то, что технологии ещё не доросли. Ну и вот конкретно вы никому не интересны.
Но уповать на веру в финансовых вопросах...
Ключом является гаджет, а биометрия лишь «пароль» к этому ключу. Ну и устройство всегда можно инвалидировать, если потерял.
Онлайн/по телефону биометрию без привязки к устройству делать глупо.
Ключом является гаджет, а биометрия лишь «пароль» к этому ключу
Если речь идёт о разблокировке айфона, то да, биометрические данные хранятся локально и специально сделаны трудноизвлекаемыми.
Но есть и другое использование биометрии:
https://www.gosuslugi.ru/help/faq/biometrics/10201
Вот меня всегда прикалывало. Начали с пароля ("что-то, что невозможно извлечь из места хранения (мозга) и что элементарно поменять при компрометации"), прошли через радужку глаза ("что-то, что достаточно сложно извлечть, но что фиг с два поменяешь при компрометации") и закончили отпечатками пальцев ("что-то, что фиг с два поменяешь при компрометации, элементарно извлечь, и при этом человек реально оставляет за собой на каждом шагу"), при этом подавая это как "ну мы же улучшаем вашу безопасность!!!111".
Баланс между удобством и уровнем безопасности.
Отпечаток пальца довольно удобен.
Пароль проще подсмотреть и ввести, чем отпечаток пальцев. Сейчас, когда телефоны используются очень часто и повсюду, сканер отпечатков скорее повышает защиту, по сравнению с паролем.
Пароль проще подсмотреть и ввести, чем отпечаток пальцев
Пускай подсматривают и вводят — я его сменю.
А ешё лучше — пароли, основанные на правиле. Тогда хоть каждый первый раз подсматривай — если не знаешь правила, то он ничем не поможет.
Была информация, что отпечаток просто по фото ладони воссоздали
https://habr.com/ru/post/356608/ (2014 год)
Любой ключ можно подделать, или украсть, или обойти защиту.
Пароль тоже можно воссоздать по фото пароля, и это настолько банально, что вряд ли об этом найдутся статьи.
Пароль тоже можно воссоздать по фото пароля, и это настолько банально
Вот Вам обмен между компьютером и юзером:
Enter passcode: lKAd4Gds72
> KLze2HCt14
Login successful
Enter passcode: l0MtZp5j9A
> K0luaq5k7B
Login successfulВоссоздавайте. А мы, обезьяны, посмотрим.
Потому что "материал знать надо" (c) любой экзаменатор
Буква в нечётной позиции — подставляем предыдущую по алфавиту букву со сменой регистра
Буква в чётной позиции — подставляем следующую по алфавиту букву без смены регистра
Цифра в нечётной позиции — умножаем на 3 и подставляем последнюю цифру полученного числа
Цифра в чётной позиции — возводим в квадрат и подставляем последнюю цифру полученного числа
Это я сейчас из головы выдумал чисто для примера. А если пользоваться постоянно — то запоминается на раз-два.
У вас тут security through obscurity.
Я бы применил более традиционный механизм цифровых подписей, или одноразовые пароли, или пароли, основанные на дате/времени (последний вариант не очень надёжен, а первые два - не для людей).
Очень похоже по двум примерам, что правила следующие:
1) буква на нечётном месте - заменяется на предыдущую букву в другом регистре.
2) буква на чётном месте - на следующую букву.
3) цифра n на нечётном месте - на n*3 mod 10.
4) цифра n на чётном месте - непонятно, то ли на n+2 mod 10, то ли на n*2 mod 10, то ли на n*7 mod 10.
Вот, только с последним правилом ошибся.
Ну конечно, ведь настоящие правила, а не придуманные за три минуты для иллюстрации, конечно же, будут такими же элементарными... (сарказм, если что)
Но даже "игрушечные" Вы не угадали. Ведь с компьютером "ну я только одно ж не угадал, ну пропусти меня, пожалуйста!" не сработает.
Настоящие правила точно так же взламываются. Если они не усилены закрытым крючом, как в схеме цифровой подписи.
Считать, что надёжная защита может быть основана лишь на скрытых правилах - глубокое заблуждение, обычно присущее людям, не знакомым с криптографией. Подробнее тут - https://en.m.wikipedia.org/wiki/Security_through_obscurity
Но даже "игрушечные" Вы не угадали. Ведь с компьютером "ну я только одно
ж не угадал, ну пропусти меня, пожалуйста!" не сработает.
Угадал процентов на 80 за пару минут, хотя я не спец в таких ребусах. 3 правила из 4х верны, одно даёт верный результат в ~четверти случаев. Будут ещё примеры - можно будет угадать на 100%. Либо сделать несколько неудачных попыток перед удачной, дождавшись в итоге нулей и двоек на чётных местах - у вас же не одна попытка ввода пароля?
Угадал процентов на 80 за пару минут
С учётом того, что я эти правила придумал за минуту...
А если у меня там восемь правил, по одному на каждую букву? А если в правиле участвует более одного символа из кодовой фразы? Да даже на условном правиле "для каждой i-й буквы если (i+3)-я буква гласная, то отсчитай от неё первую встретившуюся в кодовом наборе цифру букв назад, если согласная — то отсчитай последнюю встретившуюся цифру букв вперёд, если цифра — то отсчитай столько букв вперёд и измени регистр предшествующей буквы" Вы обломаетесь.
Есть общепринятая практика (на которую я ссылался уже дважды), согласно которой методы, которые вы предлагаете, слабы перед взломом.
Обычно используют другие методы - https://ru.wikipedia.org/wiki/Аутентификация#Способы_аутентификации
Ваш метод ближе к электронной подписи, но вместо обычных, общепринятых, надёжных криптоалгоритмов вы предлагаете использовать новый плохо продуманный "криптоалгоритм" (какие-то замены), который не может быть надёжным исходя из криптографической практики и исходя из принципов криптографии. Эта ошибка описывается на первых страницах учебников. Не делайте так. Ознакомьтесь с темой, возьмите что-то проверенное. Иначе вашу защиту взломают.
Чаще как раз прибегают к помощи устройств, с которых достаточно сложно украсть ключ, и это довольно надёжно. Распространённый пример - банковская карта с чипом.
Человек вряд ли может выполнить в голове вычисления для реализации шифра, который невозможно взломать с использованием компьютера. Самопридуманные же "криптоалгоритмы" небезопасны совсем, хоть их и можно применять в уме.
Но где тут защита от украденного пароля?
Похоже, люди не понимают, что ключ (голос, отпечаток и т.д.) нельзя заменить в случае компрометации
Можно. Ибо голос-отпечаток в чистом виде в биометрии не используется. И да, второй фактор никто не отменял. Более того, биометрия, как правило и идет, как этот самый второй фактор.
Похоже, люди не понимают, что ключ (голос, отпечаток и т.д.) нельзя заменить в случае компрометации.
голос
Более того, иногда люди не понимают, что существуют диктофоны...
Потом, когда модель все-таки опубликуют, приходишь в банк, а там "Diamonds Are a Girl's Best Friend" ... твоим голосом в качестве авторизации на сайте ближайшего ювелирного.
Единственное чего тне хватает для полного сравнения, это примеров на иных языках.
О! Теперь все любители - "Мам я попал в аварию переведи срочно 50к", будут звонить маме голосом сына\дочери)
Плюс вариант: мисс Томпсон, оплатите срочно 49 тысяч по счету из имейла, который сейчас пришлют.
По счастью, за три секунды не все дефекты речи успеют возникнуть. Надо читать специально выбранный текст для такого.
Приближаемся к полной анонимности в интернете и частично в реале. Можно будет говорить что угодно и делать что угодно, не опасаясь что тебя запишут, ведь теперь запись не доказывает ничего.
А теперь представьте, что вам звонит жена (или муж, ребёнок, друг, мать) и своим голосом говорит, что попала в аварию, сбила человека, срочно нужны деньги. А на самом деле это, конечно, никакая не жена.
Короче, друзья, запасайтесь заранее секретными вопросами/ответами.
Ну скажите, для чего ещё может применяться эта технология, кроме как разводить лохов на баблишко?
Делать популярные дикторские голоса без участия диктора. Дешёвая озвучка рекламы, презентаций, кино, ...
А еще озвучка игр, особенно, которые on-going.
Всегда было интересно, что сейчас делают, если войс-актер потерял голос или умер, а того же персонажа нужно озвучивать в очередном DLC
Надеюсь доживу до момента, когда в любом фильме можно будет выбрать самому исполнителей ролей (через DeepFake) и заодно голоса им назначить через Vall-E :)
С детства нас учили, что одной биометрии мало!
Её и подделать можно.
Поэтому нужен shared secret!
Microsoft создала инструмент имитации любого голоса, которому достаточно трёхсекундного образца