生物認證被視為較安全的身分驗證方法,原因在於每個人的身體特徵,諸如瞳孔、指紋等都獨一無二,不法分子難以複製偽冒。不過英國 BBC 記者的孖生兄弟只需模彷對方的聲線,便破解了當地滙豐的人聲識辨系統,能夠查閱戶口的餘額和交易記錄。
英國滙豐於 2016 年引入人聲識辨系統 Voice ID,聲稱能夠量度 100 種人聲特徵,只要在電話說出「My voice is my password」便可認證身分。
不過英國 BBC 記者 Dan Simmons 的孖生兄弟 Joe Simmons ,只要模彷對方的聲線便能破解認證,雖然不能提走對方的款項,但能查閱戶口的餘額和交易記錄,結果就被 BBC 報導了。
值得注意的是,Joe 在成功認證前嘗試了七次有多;而 BBC 亦發現,他們可在 12 分鐘內試 20 次。資訊安全專家認為,人聲認辨系統理應不能容許錯誤,因為人聲不同密碼,不可能會忘記,理應在第一次嘗試便成功。經過兩次後,系統應可決定對方是否正當用戶,假如再有嘗試便應通知用戶和銀行。
雖然生物認證利用人們獨一無二的身體特徵來確認身分,但不代表百分百安全。例如早前有研究便成功以導電墨水複製指紋,把 Samsung 手機解鎖。另外,正正由於身體特徵獨一無二,當該些資料被盜用時,事主反而要證明自己沒有做過,但要證明身體特徵遭他人或電腦軟件彷製,又是另一個難題。
Source : BBC
