האם אימות קולי הוא אמצעי אבטחה מספיק?

האם אימות קולי הוא אמצעי אבטחה מספיק?

voice authentication

This post is also available in: enEnglish (אנגלית)

אימות קולי פירושו כניסה למכשיר או שירות רק באמצעות פקודה קולית. דרך זו של פיקוד על מכשירים אלקטרוניים באמצעות דיבור הופכת ליותר ויותר נפוצה. בתחום זה של האינטרנט של הדברים, המסייעת הקולית מחברת אנשים למכשירים הניידים שלהם, לבית ולמכונית. באמצעות אינטראקציה של דיבור ניתן להתקשר, לשלוח הודעות טקסט, לבדוק מיילים, לקבל הוראות נסיעה, לשלוט במכשירים ואף לקבל גישה לחשבונות בנק.

אבל צלילים מהווים "ערוץ פתוח", שניתן בקלות להטעות אותו באמצעות מתחזים והאקרים מתוחכמים, כך טוענים חוקרים. אמצעים שנראים כמו שרשרת, אוזניה או משקפיים שפותחו באוניברסיטת מישיגן עשויים לפתור את בעיית הפגיעות הזו, על פי phys.org.

"הקול משמש כאמצעי אבטחה נפוץ אבל למעשה הוא פגיע מאוד", אומר קנג שין, מרצה למדעי המחשב והנדסת חשמל באוניברסיטת מישיגן. "אם מערכת משתמשת רק בחתימת הקול שלך, הדבר עלול להיות מסוכן מאוד. אנחנו סבורים שנדרש ערוץ אימות נוסף".

הפיתרון שפיתחו שין ועמיתיו מכונה VAuth – מדובר במכשיר לביש שנראה כמו שרשרת, אוזניה או תוספת למשקפים. הטכנולוגיה רושמת באופן מתמיד רעידות שנוצרות על ידי דיבור על גופו של המשתמש ומתאימה אותן עם צליל קולו של אותו אדם כדי ליצור חתימה יחודית ומאובטחת.

תהליך הדיבור יוצר רעידות שניתנות לאיתור על עור הפנים, הגרון או החזה של האדם. המערכת פועלת באמצעות מינוף הקונסיסטנטיות בין האותות מהאקסלרומטר שבמכשיר הלביש לבין המיקרופון במכשיר האלטרוני. ניתן להשתמש באימות קולי עם המכשיר רק במידה ולובשים את אביזר הביטחון.

צוות החוקרים בנה אבטיפוס באמצעות אקסלרומטר מסחרי מהמדף, המודד תנועה, ומשדר בלוטות' שמשגר את אותו הרעיד למיקרופון שבמכשיר של המשתמש. הם פיתחו גם אלגוריתמים תואמים ותוכנה עבור Google Now.

מדובר במשהו שונה לחלוטין ממנגנונים קוליים ביומטריים קיימים, הדורשים מהמשתמש אימון, לדברי קאסם פאוואז, מצוות המחקר. "בנוסף, הטכנולוגיה מצליחה להתגבר על בעיה של ביומטריית קול", לדבריו. "ביומטריית קול, בדומה לטביעת אצבע, אינה פשוטה להגנה. לאחר מספר הקלטות של קול המשתמש, התוגף יכול ללמוד לחקות אותו באמצעות יצירת חתימת קול תואמת.

"המשתמשים לא יכולים לעשות הרבה כדי להשיב לעצמם את הביטחון. לעומת זאת, כאשר מאבדים מסיבה כלשהי את ה-VAuth, המשתמשים יכולים פשוט לבטל אותו כדי למנוע מהתוקף להשתמש במכשיר שלהם".