Скажи: «Пароль»…

Внедрение эффективной системы подтверждения личности по голосу, подобной описанной ниже, позволит юридическим организациям и физическим лицам существенно повысить безопасность управления финансовыми и информационными ресурсами.

ОДНОФАКТОРНОЙ АУТЕНТИФИКАЦИИ НЕДОСТАТОЧНО

Эффективность бизнеса в значительной степени зависит от обеспечения информационной безопасности. Несанкционированный доступ к конфиденциальной информации о финансовой деятельности компании, контрактах и планах чреват не только потерями, но и полным банкротством. Ежегодные потери от утечёк информации достигают многих миллиардов долларов США.

Во многих случаях утечка информации происходит изнутри компании. По данным Association of Certified Fraud Examiners, ACFE (Ассоциации сертифицированных специалистов по борьбе с хищениями), ущерб от злоупотреблений сотрудников может достигать около 6% годовой прибыли компании. В среднем потери при каждом подобном инциденте составляют $100 000, а в 14,6% превышали $ 1 млн.

Внутрикорпоративная безопасность обеспечивается различными средствами, эффективность которых далеко не всегда оправдывает ожидания. Аппаратные средства – электронные ключи – теряются или тем или иным образом оказываются доступными для несанкционированного использования.

Алфавитно-цифровые пароли подсматриваются, а при частой их смене пользователи не успевают их запоминать и обращаются в службу информационной поддержки, что тормозит текущую деятельность компании. Такое положение вещей диктует необходимость в применении, наряду с традиционными методами, новых средств санкционирования доступа к использованию и управлению финансовыми и информационными ресурсами.

Развитие средств управления финансовыми ресурсами через интернет или по мобильному телефону вызвало появление новых угроз в виде так называемого фишинга. По оценке American Bankers Association, АВА (Американской банковской ассоциации), передаваемые по телефону параметры кредитной карты в 12% случаев подслушиваются с последующим воровством денег с карты. Данные кредитной карты перехватываются в системах электронной торговли или в банкоматах. Украденные суммы исчисляются сотнями миллионов долларов США в год.

В результате, по данным годового исследования потребительских online-мошенничеств Financial Institution Consumer Online Fraud Survey, выполненного компанией RSA Security, доверие к интернет-каналам оплат пошатнулось: 82% клиентов уже с меньшей вероятностью ответят на письмо, присланное из их банка.

Более половины клиентов признали, что они с меньшей вероятностью подписались бы на услугу интернет-банкинга. Около 91% опрошенных хотели бы воспользоваться дополнительным методом аутентификации для обеспечения усиленной защиты, помимо традиционных имени пользователя и пароля.

Согласно решению Federal Financial Institution Examination Council, FFIEC (Федерального совета по проверке финансовых институтов США) от 2005 года, использование однофакторной методологии аутентификации личности, то есть подтверждения с помощью PIN-кода или буквенно-цифрового пароля, является неадекватным средством защиты в системах удаленного доступа к финансам. Поэтому в дополнение к таким традиционным средствам целесообразно использовать биометрические параметры человека.

Преимущество биометрии заключается в том, что эти параметры всегда находятся при человеке, их нельзя забыть, потерять, передать другому человеку, украсть и довольно трудно воспроизвести. Наибольшее внимание уделяется разработкам систем распознавания отпечатков пальцев, ладони, рисунка радужной оболочки глаз и особенностей голоса. Каждый из этих методов обладает преимуществами и недостатками, которые определяют степень применимости в различных условиях.

МЕТОДЫ БИОМЕТРИЧЕСКОЙ АУТЕНТИФИКАЦИИ

Эксплуатационные характеристики любой биометрической системы характеризуются двумя показателями – процентом ложных пропусков самозванца и процентом ложных отказов пользователю системы. Первый показатель характеризует количество случаев, в которых посторонний человек или злонамеренный самозванец будет ошибочно опознан биометрической системой как истинный пользователь.

Второй показатель характеризует количество случаев, в которых истинный пользователь будет ошибочно принят биометрической системой за постороннего человека. Оба показателя связаны друг с другом: чем ниже процент ложных пропусков, тем выше процент ложных отказов, и наоборот.

1. Распознавание отпечатков пальцев

Этот метод находит все большее применение, в частности, в мобильных системах типа ноутбуков. Для него характерна повышенная склонность к отказу от распознавания, и для снижения вероятности пропуска самозванца приходится применять распознавание всех десяти пальцев, что не очень удобно. Загрязнение сенсорной панели или пальцев, а также царапины или ранения значительно повышают вероятность отказа. Частые отказы от распознавания препятствуют использованию этого метода в ежедневной практике для санкционирования доступа.

По данным организаторов Fingerprint Verification Competition (международного конкурса алгоритмов идентификации по отпечаткам пальцев), при использовании отпечатков 4 пальцев в среднем наблюдается около 2% ложных пропусков и 2% ложных отказов, а вероятность отказа от регистрации пользователя составляет около 4%.

2. Распознавание отпечатка ладони

Для эффективного использования этой технологии требуется сенсорная панель большого размера, что существенно ограничивает область применения. Как и в случае распознавания пальцев, загрязнение сенсорной панели или ладони, а также царапины или ранения значительно повышают вероятность ошибки распознавания. В строго контролируемых условиях вероятность ложного отказа составляет около 2%, а вероятность ложного пропуска около 0,1%. Такие данные приведены в результатах исследования, проведённого учёными университета Пердью в городе Уэст-Лафайетт штата Индиана, США (Purdue University's Research).

3. Распознавание рисунка радужной оболочки глаза

Согласно масштабным экспериментам идентификации личности по рисунку радужной оболочки, вероятность совпадения характеристик радужной оболочки у разных людей (не родственников) в контролируемых лабораторных условиях очень мала. Что позволило применить этот метод в контрольно-пропускных пунктах аэропортов нескольких стран. Международная группа биометрии (International Biometrics Group, IBG) провела ряд тестов технологий распознавания пользователей по рисунку сетчатки глаза (Independent Testing of Iris Recognition Technology).

Результаты исследований показали: вероятность ошибочного пропуска или отказа признать пользователя составляют около 1%, тогда как вероятность отказа от регистрации близка к 7%. Кроме того, этот метод чреват риском повреждения глаза при подсветке инфракрасными лучами и требует дорогостоящей аппаратуры. Все это не допускает частого использования этого метода и ограничивает его применение лишь на объектах особого значения.

4. Распознавание лица

Основное препятствие к широкому применению этого метода состоит в необходимости строгого контроля условий, при которых происходит сравнение лица и эталонных изображений, в том числе освещения, ракурса и выражения лица. При этом вероятность ложного отказа весьма высока – около 10% при вероятности ложного пропуска около 1%.

Распознавание указанных выше характеристик личности требует непосредственного контакта с регистрирующей аппаратурой, что сильно ограничивает возможности удаленного доступа, в том числе и по причине возможного перехвата биометрических параметров в канале связи. Принципиальный недостаток этих методов состоит в том, что биометрический код постоянен, так как отпечатки пальцев или ладоней, рисунок радужной оболочки и черты лица индивидуума неизменны.

Этот недостаток препятствует применению таких методов в случаях, требующих особо высокой надежности идентификации личности, поскольку неизменный биометрический код может быть считан путем злонамеренного вторжения в программу распознавания.

5. Распознавание голоса

Преимущество голосовой биометрии состоит в том, что она может использоваться как при непосредственном контакте с регистрирующей аппаратурой, так и при удаленном доступе, например по каналам интернета или телефонной связи общего пользования. При этом нет необходимости в использовании дорогостоящих аппаратных средств регистрации голоса, поскольку микрофон является стандартным устройством, которое встроено в современные компьютеры, особенно в ноутбуки.

Важное преимущество голосовой биометрии состоит и в том, что голосовой биометрический код может быть переменным за счет использования разных последовательностей слов в пароле. Это существенно снижает риск перехвата и воспроизведения этого кода для злонамеренного вторжения в защищаемую систему. Использование методов анализа речевого сигнала, специфических для конкретного языка и заданного словаря, позволяет также существенно снизить вероятность пропуска самозванца и отказа законному пользователю.

ПРЕИМУЩЕСТВА РЕЧЕВОЙ ИДЕНТИФИКАЦИИ

В отличие от биометрии, по фиксированным параметрам голосовая биометрия обладает практически неограниченным потенциалом для снижения ошибки распознавания за счет использования всё более длинных речевых сообщений. Она может использоваться также в темноте или на расстоянии, в частности, по стандартному телефонному каналу. Опасения, связанные с возможным взломом системы с помощью имитации голоса, мало обоснованы.

Разоблачение имитатора

Специальные исследования, выполненные крупнейшей телекоммуникационной компанией Франции France Telecom, показали: вероятность пропуска самозванца при имитации голоса практически не превышает среднюю вероятность для произвольных голосов. Поэтому голосовая биометрия является наиболее перспективным методом распознавания личности как с точки зрения надежности, так и с точки зрения широты областей применения.

Вместе с тем, большинство известных систем распознавания голоса пользователя не устойчивы к воздействию акустических помех, зависят от характеристик канала речевой связи и требуют частого переобучения вследствие естественных вариаций голоса. Показатели эффективности работы этих систем, получаемые в реальных условиях эксплуатации, значительно хуже, чем это декларируется их производителями.

По данным Национального института стандартов и технологий США (National Institute of Standards and Technology, NIST), вероятность ложного пропуска по голосовым характеристикам составляет в среднем около 5%, а вероятность ложного отказа – около 10%.

Соотношение между числом ложных пропусков самозванца и ложным отказом зарегистрированному лицу не устраивает подавляющее большинство потенциальных клиентов. Поэтому, согласно Gartner Research (отчетам исследовательской и консалтинговой компании Gartner, Inc., специализирующейся на рынках информационных технологий), существующими системами верификации личности по голосу пользователя обеспечивается менее 1% потенциального рынка.

Распознавание личности по голосу может выполняться в двух режимах: идентификации и верификации (подтверждения). В обоих случаях необходимо предварительное обучение на голос пользователя, а также нужна база данных для достаточно большого числа дикторов, выступающих в роли референтных образцов.

Идентификация состоит в последовательной проверке правдоподобия принадлежности некоторого речевого высказывания каждому из зарегистрированных в системе голосов и выборе наиболее достоверного голоса. В процессе эксплуатации такой системы пользователь не указывает своего идентификатора, и это удобно. Но, поскольку решение о принадлежности голоса принимается путем сравнения с каждым из возможных пользователей, то число их ограничивается производительностью вычислительной системы и не должно быть велико для получения быстрого результата.

В режиме верификации пользователь каким-либо образом указывает свой идентификатор, и вычисление правдоподобия выполняется только для данного пользователя. Идентификатор пользователя может быть предъявлен в виде кода на электронной карте, алфавитно-цифрового пароля или в звуковом виде, например, путем произнесения своей фамилии. Возможно также использование отпечатков пальцев или распознавания лица.

Таким образом, может быть удовлетворено требование использования двухфакторной проверки. Решение о допуске или отказе от допуска принимается по некоторому порогу, который может зависеть как от характеристик голоса данного пользователя, так и от других условий, например, от требования к максимальной допустимой вероятности пропуска самозванца.

Каждый пароль новый

Фиксированный пароль существенно снижает способность системы противостоять попытке злонамеренного вторжения, например, воспроизведением подслушанного и записанного пароля. Использование переменного голосового пароля является более надежным, ведь при каждом обращении система верификации предлагает произнести новую фразу. Однако такая фраза должна содержать достаточный звуковой состав для обеспечения требуемой надежности верификации.

Каждый язык имеет свой артикуляторный строй, который отражается на звуковом составе и спектрально-временных характеристиках речи. Поэтому использование особенностей языка путем целенаправленного анализа характеристик речевого сигнала повышает эффективность системы верификации. Дальнейшее улучшение характеристик системы верификации может достигаться путем использования фиксированного словаря.

При этом система предлагает пользователю произнести последовательность слов из этого словаря, причем при каждом обращении к системе эта последовательность формируется в случайном порядке. На этих принципах построена, в частности, система верификации диктора со словарем из числительных русского от 0 до 9 см. «Способ верификации пользователя в системах санкционирования доступа», патент № 2351023, приоритет от 2 мая 2007 года, авторы В.Н. Сорокин и А.И. Цыплихин).

Физической основой верификации по голосу в этой системе служит анатомия речевого тракта, свойства системы управления артикуляцией и особенности голосового источника. Анатомия речевого тракта определяет спектральные характеристики звуков речи, система управления артикуляцией влияет на темп речи, скорость переходных процессов и длительность речевых сегментов, а голосовой источник определяет частоту основного тона и характеристики тембра речи.

Блокировка мастер-ключом

Одно из решений, реализующих эту систему, обеспечивает, в частности, санкционированный голосовой доступ к операционной системе компьютера. Если в доступе отказано, то сообщается о количестве оставшихся попыток, после исчерпания которых операционная система блокируется и требуется ввод специального мастер-ключа.

Преодоление запрета на доступ необходимо для того, чтобы избежать неверных решений системы верификации. В корпоративных системах мастер-ключ может быть доверен представителю службы безопасности, который разблокирует систему. Например, после того, как лично убедится в праве данного пользователя на доступ к операционной системе. Защита мастер-ключа выполняется специальными техническими средствами.

В нормальной ситуации пользователь заинтересован в допуске и старается говорить в том же стиле, в котором происходило обучение. Поэтому многократный отказ зарегистрированному пользователю маловероятен. Если же он произошел по причине алкогольной или наркотической интоксикации или чрезмерного эмоционального возбуждения, то решение о преодолении запрета на доступ в каждом отдельном случае должно приниматься индивидуально.

Если запрет доступа произошел при обращении по каналу телефонной связи или интернету, то преодоление этого запрета может выполняться после предоставления пользователем по запросу дополнительной информации о себе. Для компенсации акустических помех применяются специальные алгоритмы шумоподавления. Предотвращение несанкционированного доступа воспроизведением подслушанных и записанных слов пользователя обеспечивается случайным характером контрольных слов, предлагаемых системой верификации.

В результате тестирования такой системы на базе данных, содержащей более 30 млн. парольных фраз с максимальной длиной в 10 слов, оценки вероятности ошибки составили 0,006% для мужских голосов и 0,025% – для женских. Вероятности пропуска самозванца и ложного отказа оказались примерно одинаковыми. Адаптация имеющейся модели голоса пользователя осуществляется после каждого успешного акта его верификации.

Автоматическая верификация

Верификация личности по голосу может эффективно применяться для повышения надежности в ряде практических ситуаций, таких как:

  • распоряжение финансовыми процессами по электронным или телефонным каналам (управление банковским счетом, электронная коммерция, электронный кошелек, подтверждение права пользования кредитной картой);
  • доступ к конфиденциальным документам и базам данных;
  • разрешение на вход в помещение, открывание сейфа;
  • разрешение на смену пароля или PIN-кода.

В современном обществе человек вынужден запоминать пароли и PIN-коды для обеспечения доступа к разнообразным услугам. Эти данные часто теряются или забываются, что создает дополнительные проблемы и требует восстановления или смены этих кодов. Согласно оценкам Meta Group, консалтинговой компании – разработчика IT-ар-хитектуры предприятий, каждый клиент в среднем звонит в службу помощи примерно 15 раз в год, причем от 20 до 50% звонков содержат просьбы возобновления или смены пароля.

Каждый акт возобновления пароля требует общения с человеком-оператором и занимает, в среднем, около 3 минут, если пользователь помнит все правильные ответы на контрольные вопросы. Но это время может быть и гораздо больше. Согласно оценкам GartnerGroup, смена пароля при контакте с оператором обходится от $ 10 до $31 – в среднем $25для каждого случая, что на каждую 1 000 клиентов обходится в $ 375 000 в год.

БАРЬЕР ПРЕДРАССУДКОВ

Барьеры против применения систем верификации личности по голосу, встречающиеся, главным образом, в психологии потенциальных пользователей, таковы:

  • случаи существенного несовпадения объявленных и реальных показателей эффективности систем распознания;
  • недопонимание собственной выгоды предотвращения утечки информации;
  • предпочтение старых методов защиты (консерватизм);
  • нежелание руководящего звена брать ответственность за возможные просчёты;
  • сопротивление исполнителей, связанное с дополнительными обязанностями;
  • опасение потерять персональные биометрические данные.

Вместе с тем, имеется и объективный фактор. Поскольку речь идет о защите финансовых или информационных ресурсов высокой важности и стоимости, потребитель хочет иметь более высокую гарантию надежности, чем предлагаемую самим производителем системы верификации. Такая гарантия должна быть получена путем сертификации системы независимыми организациями. Кроме того, потребитель должен быть уверен в том, что купленный продукт будет иметь техническую поддержку и обновляться в течение длительного времени.

Автоматическая верификация пользователя позволяет исключить участие человеческого персонала в процессе санкционирования доступа, повышая степень защищенности системы, экономя время и зарплату персонала при ежедневной и круглосуточной работоспособности.

В случае необходимости использования удаленного доступа, например, по телефону, удобство и надежность голосовой верификация приобретает для пользователя решающее значение. Круглосуточный доступ, например, к управлению банковским счетом или финансовыми операциями обеспечивает оперативность и удобства при активной деловой деятельности.

Финансовая выгода применения технологий голосовой биометрии состоит в предотвращении финансовых или иных потерь, по сравнению с которыми затраты на такой способ обеспечения безопасности более чем оправданы. В частности, чип на кредитной карте с параметрами голоса владельца может обеспечить предотвращение ее несанкционированного использования в банкоматах, снабженных системой верификации.

Юрий Ромашкин -- Член редколлегии, кандидат технических наук (Журнал «Речевые технологии»)

Виктор Сорокин -- Ведущий научный сотрудник, доктор физико-математических наук (Институт проблем передачи информации РАН)

BIS Journal №1(4)/2012

21 февраля, 2012

Смотрите также