Onze stem als authenticatiemiddel: kunnen we blind vertrouwen op deze techniek?
Voelde het enkele jaren geleden nog wat ongemakkelijk, tegenwoordig kletsen we zonder gêne tegen onze apparaten zoals pc’s, smartphones en personal assistants. Met een steeds betere stemherkenning groeit ook de populariteit van stemgebaseerde authenticatie. Met name banken zien hier toekomst in, als controlemiddel bij bijvoorbeeld telefonische overboekingen. Maar kunnen we blind vertrouwen op die techniek?
Pindrop, fabrikant van securityoplossingen rondom bestrijding van telefonische fraude, heeft resultaten bekend gemaakt van een onderzoek naar de werking van stemgebaseerde biometrische beveiliging. Aan het onderzoek deden 122 mensen, waaronder ook Nederlanders, mee.
Verdubbeling foutmarge
Dit onderzoek leverde een aantal opvallende conclusies op. Zo verdubbelde de gemiddelde foutmarge na slechts twee jaar van 4 tot 8 procent. De stem van mannen blijkt sterker te veranderen dan die van vrouwen. De wetenschappers onderzochten ook het stemgeluid van de Amerikaanse oud-president Barack Obama. Ze analyseerden al zijn speeches van 2009 tot en met januari 2017 en constateerden afwijkingen tot 23 procent.
Het onderzoek bewijst dat stemmen constant evolueren. Het mag geen verrassing zijn dat die stemverandering tot een jaar of 18 het sterkst is, maar ook daarna is het geluid uit onze keel niet in beton gegoten. Niet zo vreemd: we gebruiken voor spraak zo’n honderd spieren, dus de kans dat enkele van die spieren en daarmee klankeigenschappen veranderen is groot. Ook de stembanden en het kraakbeen van het strottenhoofd veranderen over de tijd.
Niet het enige zwakke punt
Een evoluerende stem ondermijnt het principe van stemauthenticatie. Bovendien is het niet het enige manco aan de technologie. Een ander zwak punt is dat hackers je stem simpelweg kunnen stelen. Daarvoor is fysieke nabijheid niet nodig: YouTube en andere socialmediakanalen staan vol met stemmen van individuen.
Staat je stem eenmaal in het ‘openbaar’, dan is misbruik mogelijk. Moderne spraaksoftware kan op basis van geluidsopnamen stemmen nabootsen en die stemmen willekeurige uitspraken laten doen.
Bruikbaar?
De conclusie is helder: stemauthenticatie is allesbehalve waterdicht. Toch maakt dit stemgebaseerde beveiliging geen waardeloze technologie. Het kan zeker dienst doen als extra controlemiddel in een multifactorauthenticatie.
Banken die dit controlemiddel inzetten tijdens telefoongesprekken doen er goed aan voor oplossingen te kiezen die rekening houden met een foutmarge. Hoe hoog die marge is, hangt af van zaken als het geslacht van de beller en de tijd tussen het huidige en vorige gesprek.
Stemauthenticatie gebruiken als enige verdedigingslinie is in geen enkel geval verstandig. Daarvoor is onze stem te variabel en het risico op misbruik te groot.
Corey Nachreiner, Chief Technology Officer bij WatchGuard Technologies
