إعادة التفكير في المصادقة والأمن البيومتري ، طريقة Toptal

Toptal هي شبكة واسعة من المواهب التقنية ونفتخر حاليًا بأكبر قوة عاملة موزعة في الصناعة. هذا مصدر فخر للعديد من Toptalers ، وخاصة فريق التطوير الذي يعمل بجد لدينا. لماذا ا؟ لأننا نجعلها تبدو سهلة وسلسة للغاية ، ونفعلها كل يوم. في حين أن شركة التكنولوجيا التقليدية لا بد أن تمتلك بنية تحتية واسعة (الكثير من المساحات المكتبية ، والخوادم ، والمعدات الموحدة ، والموارد الأمنية المادية والسيبرانية الوفيرة ، وما إلى ذلك) ، فإننا لا نفعل ذلك.

نحن نعتمد على التكنولوجيا والخدمات الجاهزة. تكافح الشركات التقليدية للتعامل مع عدد صغير من مستخدمي BYOD ، ولكن هنا في Toptal ، كل أجهزتنا هي BYOD . مشكلة نهجنا الحيادي للمنصة والاعتماد على شبكة موزعة بديهية: كيف يمكننا ضمان الأمن والحفاظ عليه؟

لم يكن الأمر سهلاً أبدًا ، لكننا نحب التحدي الجيد ، ونود أن نتقدم خطوة واحدة. لهذا السبب شرعنا في تصميم إجراءات متعددة للمصادقة والإعداد العام الماضي. استخدمنا الربع الأول من عام 2016 للتجارب والطيارين ، وكانوا مشجعين. نتيجة لذلك ، قررنا الإعلان عن نتائج تجاربنا وكشف النقاب عن خطط طرحها.

بحلول نهاية الربع الثالث ، سيكون جميع Toptalers على دراية بحلولنا الجديدة ، وإذا سارت الأمور على ما يرام ، فسيبدأون في استخدامها بحلول نهاية العام.

التحدي

كيف نتأكد من أن كل شخص قام بتسجيل الدخول إلى شبكتنا هو من يدعي أنهم؟ معظم أعضاء فريقنا لم يلتقوا قط في الحياة الواقعية ، ومع ذلك فهم يتعاونون على أساس يومي. ماذا لو تم اختراق أمن شخص ما؟ أو ماذا لو قرر عضو ساخط تقويض الشبكة؟

اتفقنا على نهج مزدوج لمعالجة هذه المخاوف:

• بما في ذلك مجموعة من اختبارات الموثوقية الشخصية لعملية الفحص لدينا.
• تقديم طبقة جديدة من الأمن البيومتري.

ما نوع الاختبارات التي سنجريها؟ نهجنا مستوحى من برنامج موثوقية الموظفين (PRP) ، الذي أنشأته وزارة الدفاع الأمريكية. تم تصميم البرنامج للتعرف على الأفراد الذين يتمتعون بأعلى درجة من الموثوقية ، مع مراعاة سلوكهم السابق وموثوقيتهم وسلوكهم وولائهم. سيتم تقييم امتثال PRP بشكل مستمر من قبل قسم الأمن الداخلي (ISD) الذي تم تشكيله حديثًا ، والذي يعمل به قدامى المحاربين في المخابرات العسكرية من إسرائيل والبوسنة.

سيقتصر الوصول إلى المنصة على الأفراد الذين يستوفون معايير PRP الصارمة ، ومع ذلك ، فإن الفشل في تلبية هذه المعايير لن يكون سببًا للإنهاء أو التخفيض. سيعكس فقط عدم ملاءمة الفرد لأدوار معينة ، مما يقيد وصوله إلى المعلومات السرية.

لضمان الامتثال المستمر ، سيُطلب من كل عضو في Toptal التوقيع على اتفاقية عدم إفشاء جديدة والخضوع للتقييم. ستشمل الاتفاقية أحكامًا تغطي معالجة المعلومات السرية وتحدد مجموعة من العقوبات للأفراد الذين ينتهكون الاتفاقية المذكورة.

نظرًا لأننا شبكة موزعة ، فسوف نعتمد أيضًا على المدخلات من أعضائنا. سيتم توسيع تقارير TopTeam الشهرية الحالية لتشمل استبيان الموثوقية الشخصية. بمعنى آخر ، سيتمكن كل عضو في الشبكة من الإبلاغ عن زملاء العمل المشتبه بهم أو السلوك عبر نموذج تقييم مجهول.

يشرح المقدم ديفيد فينشي ، رئيس قسم الأمن الداخلي في Toptal ، قرار تضمين "نصائح" مجهولة المصدر:

هدفنا ليس تشجيع المعارضة وخلق احتكاك بين أعضاء الفريق ، لكننا مقتنعون بأن هذا أمر حيوي لضمان الموثوقية الشخصية. يجب أن نسمح لأعضاء الشبكة بفحص الأداء المهني والنزاهة الشخصية لزملائهم في العمل. وإلا فإن قدرتنا على الحصول على معلومات قابلة للتنفيذ وحساسة للوقت ستكون معرضة للخطر.

سيتم إصدار رموز أمنية ووسادات لمرة واحدة لأعضاء الشبكة الذين لديهم تصريح PRP الكامل لضمان التشفير في حالة تعرض سلامة شبكتنا للخطر. سيحصلون أيضًا على بطاقات هوية تحتوي على رمز QR و / أو رمز شريطي يمكن مسحه ضوئيًا.

سيكون استخدام هذه الإجراءات الأمنية إلزاميًا ، وسيتم أخذ ضياع بطاقات الهوية أو سرقتها على محمل الجد. لحسن الحظ ، ستكون هذه البطاقات حلاً مؤقتًا وسيتم التخلص منها تدريجياً بمجرد أن تصبح منصة الأمان الجديدة جاهزة. نتوقع إصدار أوائل عام 2017.

القياسات الحيوية: زواج غير كامل من الملاءمة

بدأنا تجربة الأمان شبه البيومتري العام الماضي ، عن طريق الصدفة تمامًا. بعد أن قرر أحد Toptaler رسم شعارنا على ذراعه ، أدركنا أنه يمكن استخدام هذا الأسلوب في رموز QR. لا أحد يريد حمل بطاقة أخرى في محفظته ، وأكواد QR صغيرة نسبيًا ومن ثم يمكن رسمها بسهولة بالوشم أو حتى نقشها على أظافر الأصابع.

قد تتساءل عما إذا كنا جادين أم لا ، والجواب واضح هو لا . ومع ذلك ، أعطانا وشم جراهام فكرة جيدة: لماذا لا نستخدم تقنية القياسات الحيوية ، مدعومة بحلول التتبع الجاهزة؟

نحن نتحرك بالفعل نحو مستقبل بدون كلمات مرور ، وتريد Toptal أن تكون في طليعة. لماذا تثقل كاهل الأشخاص بكلمات مرور أو رموز QR سخيفة أو مصادقة ثنائية أو رموز أمان ، إذا كان بإمكاننا ضمان أمان فائق بدون أي منها؟

كانت هناك محاولات لهذا من قبل ، باستخدام التكنولوجيا الشخصية مثل الهواتف الذكية وأجهزة مسح بصمات الأصابع ، لكن هذه التقنيات ليست مقاومة للرصاص. (في حالة الماسحات الضوئية لبصمات الأصابع بالهواتف الذكية ، يمكن التغلب عليها باستخدام طابعة نفث الحبر أو سكين بسيط.)

بالإضافة إلى ذلك ، يؤدي استخدام الهواتف الذكية للمصادقة إلى فتح صندوق Pandora الخاص بالمشكلات الأخرى.

تقنية Bluetooth LE: تجعل الأمان الشخصي مقاومًا للرصاص وسلسًا

يعد الهاتف المفقود وصفة لكارثة ، ومع كل الاحترام الواجب لجميع تقنيات الحماية من السرقة والخسارة الموجودة هناك ، فإن الكثير منها لا يعمل بشكل جيد ، أو يتطلب إدخال المستخدم للقيام بسحره. بالإضافة إلى ذلك ، لماذا نعتمد فقط على الهواتف الذكية عندما نحتاج إلى مصادقة الأشخاص على أجهزة مكتبهم؟

يُطلق على الهاتف المفقود اسم الهاتف المفقود لسبب ما ، لأن المستخدم لا يدرك أنه فقده في البداية. إذا استيقظت وأدركت أنك فقدت هاتفك الليلة الماضية ، فقد فات الأوان. ومع ذلك ، إذا كنت معتادًا على الاستيقاظ في أماكن غريبة بدون هاتفك ، أو تذكر ما حدث في الليلة السابقة ، فيجب عليك أيضًا أن تكون على اطلاع على سرقة الكلى.

هذا يكون حيثما تستمتع. تعمل رموز الأمان ووحدات الدونجل ، ولكن من الصعب تحملها ، ولديهم عادة الضياع في أسوأ لحظة ممكنة. لهذا السبب خططنا لأن تكون بطاقات الهوية الخاصة بنا إجراءً مؤقتًا ، وتكون نشطة فقط لمدة 9 أشهر أو نحو ذلك. نعتزم استبدالها بأجهزة بلوتوث غير مكلفة يمكن ارتداؤها.

نعم ، سيُطلب من Toptalers حملها على شخصهم في جميع الأوقات ، لكن هذا لن يكون مشكلة. Bluetooth LE هي تقنية قاتلة ، على الأقل من حيث استهلاك الطاقة ، ويمكن تأمين هذه الأجهزة بسهولة نسبية ، مما يوفر طبقة جديدة من المصادقة (لا يمكننا مناقشة التفاصيل بسبب قيود NDA).

لقد جربنا في البداية عددًا من أجهزة تتبع اللياقة البدنية الرخيصة وعلامات مكافحة الخسارة لإثبات أن نهجنا كان ممكنًا. لقد نجحت ، لكن هذه الأجهزة الجاهزة لم تكن مناسبة بشكل مثالي لاحتياجاتنا ، لذلك شرعنا في تصميم منتجاتنا ، والتي أثبتت أنها سهلة بشكل مدهش.

أدخل Toptal TopBand

لقد تواصلنا مع عدد من مصنعي المعدات الأصلية الصينيين ذوي السمعة الطيبة للاستشارة والمدخلات التقنية. زودناهم بالمواصفات ، وقدموا لنا عرض الأسعار وتاريخ الشحن. نعم ، كان الأمر بهذه البساطة ، ونعم ، فوجئنا بسرور.

نحن حاليًا بصدد المرور بالعديد من تصميمات Toptal TopBand المختلفة وعوامل الشكل ، بالإضافة إلى العمل على جانب البرنامج. لن تتفاعل هذه الأجهزة مع هاتفك وجهاز الكمبيوتر كرموز أمان لاسلكية فحسب ، بل ستتتبع أيضًا عادات عملك ونومك.

لماذا ا؟ لأنهم يستطيعون. إنها تستند إلى الأجهزة المستخدمة في أجهزة تتبع اللياقة البدنية ، لذلك لم نكن بحاجة إلى إعادة اختراع العجلة وتصميم الأجهزة من البداية. في الواقع ، ستكلف إزالة الميزات وأجهزة الاستشعار غير الضرورية أكثر من استخدام الحلول الجاهزة.

فيما يلي مواصفات منتجنا الأولي:

• شريحة بلوتوث 4.0 مصنعة بواسطة Dialog
• مقياس التسارع من ADI
• بطارية ليثيوم بوليمر بسعة 50 مللي أمبير في الساعة من سوني ، وبطارية تدوم 40 يومًا
• مجموعة الاهتزاز ، ثلاثة واجهة مستخدم LED ، مكبر صوت إعلام
• الأبعاد: 8 مم × 15 مم × 35 مم (تقدير)
• الوزن: 8 جرام (تقدير ، بدون حزام أو مشبك)

لم ننتهي من التصميم بعد ، لذا فإن الأبعاد المادية مجرد تقديرات. ما زلنا في طور تحديد ما إذا كنا سنستخدم الألومنيوم أو البولي كربونات للإسكان ، أو مزيج من الاثنين (نريده أن يبدو رائعًا بجنون). في كلتا الحالتين ، سيكون الجهاز مقاومًا للطقس وفقًا لمعيار IP67 ، لذلك لن تضطر حتى إلى خلعه عند الاستحمام.

لهذا السبب نحن مقتنعون بأن الجهاز لن يكون مصدر إزعاج. إنه صغير جدًا ، ولا يتعين عليك شحنه كل يوم ، ويمكن حمله كمتعقب لياقة قياسي على المعصم ، وسلسلة المفاتيح ، ويمكن حتى وضعه في محفظتك (كمكافأة إضافية ، يمكن استخدامه للتنبيه المستخدمين إذا أخطأوا في وضع محفظتهم أو مفاتيحهم).

بالطبع ، يمكنك فقط إقرانه بجهاز الكمبيوتر الخاص بك كجهاز أمان لاسلكي ونسيان هذه الميزات ، ولكن أين المتعة في ذلك؟

إليك ما يقدمه TopBand إلى الطاولة ، مما يسمح للمستخدمين بما يلي:

• قم بتأمين أجهزتهم عن طريق تقييد الوصول إلى نظامنا الأساسي إذا لم يكن TopBand مقترنًا وفي نطاق الجهاز.
• حدد موقع الهواتف في غير مكانها ، أو العكس (استخدم الهاتف للعثور على TopBand).
• استقبال الإخطارات عبر الاهتزازات والإنذارات الصوتية.
• اجمع بيانات النشاط البدني ، والتي يمكن استخدامها لمنع الإرهاق وتتبع عادات عملك (عند استخدامها كأجهزة يمكن ارتداؤها).

قد تكون النقطة الأخيرة مثيرة للجدل ، لكنها قد تكون مفيدة في بعض الظروف. على سبيل المثال ، سيسمح لأعضاء فريقك بمعرفة ما إذا كنت مستيقظًا وتعمل أم لا ، وهو مثالي لتتبع الوقت. بطبيعة الحال ، لن يقوم Toptal بجمع أو استخدام هذه البيانات دون موافقة مسبقة. إنه موجود لراحتك ؛ استخدمه لتحسين صحتك وزيادة الإنتاجية.

مشروع Toptal Pet

بينما كنا نصلح النماذج الأولية ، قرر عدد قليل من Toptalers إنشاء مشروع عرضي محتمل ، ومشروع للحيوانات الأليفة من نوع ما وعندما نقول "مشروع حيوان أليف" ، فإننا نعني حرفيًا مشروع الحيوانات الأليفة. كثير من الناس لدينا مهووسون بأصدقائهم ذوي الأرجل الأربعة ، لذلك شرعوا في ابتكار طرق لاستخدام أجهزتنا بطرق لم نتوقعها: لقد حولوا TopBand إلى متعقب للحيوانات الأليفة.

كان الجهاز جاهزًا ، لذلك كان كل ما يتطلبه الأمر هو بعض التعليمات البرمجية المعدلة. شجعناهم على اختبار الجهاز على حيواناتهم الأليفة ؛ ستكون البيانات التي تم جمعها ذات قيمة فقط لضمان عدم تمكن المطورين غير الأخلاقيين من خداع النظام من خلال تثبيت TopBand على قطتهم وإخبار الجميع بأنهم في المنزل ويعملون بجد.

لا تزال الوظائف الخاصة بالحيوانات الأليفة قيد الاختبار ، لكن النتائج مشجعة. في الوقت الحالي ، تراقب الأجهزة النشاط الأساسي ، وتتحقق مما إذا كان حيوانك الأليف نائمًا أم لا ، ويهتز إذا كان حيوانك الأليف بعيدًا عن النطاق. يبدو أكثر إنسانية من أطواق الصدمات الكهربائية السيئة ، أليس كذلك؟

نظرًا لأن القطط والكلاب تأتي في جميع الأشكال والأحجام ، فإن أكبر مشكلة هي معايرة المستشعر ، والتي يعمل عليها الفريق. تم اختبار الجهاز على عدد قليل من القطط ، بما في ذلك قطط إيطالي يعاني من السمنة المفرطة ، وكلاب تتراوح من Jack Russells 'إلى Akita Inus.

أبعد من ذلك ، لا يمكننا الكشف عن الكثير من التفاصيل ، وإليكم السبب. لقد حول مطورونا مشروعهم المفضل إلى مسعى جاد. لقد تواصلوا مع عدد قليل من المستثمرين المحتملين وحصلوا على تمويل مضمون لطرح تجاري محدود (مجدول أيضًا في عام 2017) ، ولكن هذه ليست سوى الخطوة الأولى نحو خط إنتاج كامل للحيوانات الأليفة.

يعمل فريقنا بالفعل على الجيل التالي من أجهزة تعقب الحيوانات الأليفة ، استنادًا إلى الأجهزة المسجلة الملكية ، مع الشحن اللاسلكي والقدرة على استخدامها كغرس تحت الجلد.

يبدو غريب الأطوار ، لكن حيواناتك الأليفة ستحبها

تتمتع الغرسات تحت الجلد بسمعة سيئة ، ولكن معظمها غير مبرر ويتم الترويج له من قبل سواعد المؤامرة. إذا سألت أي متخصص في الحيوانات الأليفة ، فسيخبرك أن الحيوانات الأكبر من الجرذ لا تلاحظها حتى ، وفي الواقع ، تميل إلى أن تكون أكثر أمانًا وراحة من معظم الأطواق الذكية. الرقائق الدقيقة هي بالفعل ممارسة مدعومة على نطاق واسع عالميًا لتقليل أعداد الحيوانات الأليفة الضالة ؛ هذا يأخذها خطوة أخرى إلى الأمام.

حتى الآن ، كانت الغرسات تحت الجلد مقصورة على وظائف RFID البدائية وهذا حد من جاذبيتها. هذه ليست انتقاد في تقنية RFID ؛ تعمل الكثير من الشركات الشرعية على غرسات RFID ، وتعتبر Dangerous Things إحدى الشركات الناشئة التي تبرز من حيث الابتكار.

ومع ذلك ، أصبحت مجموعات الشحن اللاسلكي Qi أصغر وأرخص مع كل جيل جديد. من الواضح أن هذا يسمح للمهندسين بتصميم غرسات مليئة بالميزات لأنهم قادرون على استخدام المزيد من طاقة البطارية لأجهزة الاستشعار واتصال Bluetooth دائمًا.

لسوء الحظ ، ما زلنا غير موجودين ، ولن تكون النماذج الأولية جاهزة حتى عام 2018 على أقرب تقدير. أخبرنا شركاؤنا في الأجهزة أيضًا أنهم لن يكونوا قادرين على إجراء تجارب على الحيوانات في الصين القارية ، بسبب تشريع حقوق الحيوان الصارم وغير المرن في البلاد.

لذلك ، سيتم اختبار الأجهزة في كمبوديا. لقد تأكدنا من أن البحث سيكون أخلاقيًا ، لذلك لا داعي للقلق. فريقنا حريص على تجربة عمليات الزرع على حيواناتهم الأليفة ، ولن يحلموا بفعل أي شيء من شأنه أن يعرض مجموعات فرحهم المصنوعة من الفرو للخطر.

إذا كانت جيدة بما يكفي لكلبي ...

هذا هو المكان الذي نواجه فيه عقبة بسيطة. بفضل ثقافة الحماسة في Toptal ، تطوع اثنان من أعضاء فريقنا لاختبار الغرسات عليهم ، وليس فقط على حيواناتهم الأليفة. على الرغم من أنه لا يزال من السابق لأوانه إجراء التجارب على البشر ، إلا أنه يوضح أن الناس قد لا يمانعون في استخدام الغرسات تحت الجلد ، بشرط أن يثقوا في التكنولوجيا. نظرًا لأن هؤلاء الأفراد لعبوا دورًا محوريًا في تطوير TopBand الخاص بنا ، فهم حريصون على إثبات هذا المفهوم. قيل لنا أنه نوع من تحت جلدك بعد فترة.

نحتاج إلى أفراد بشريين لاختبار الشحن اللاسلكي وبعض الميزات الأخرى ، حيث من غير المرجح أن تنجح محاولات تدريب القطط والكلاب على الجلوس في مكان واحد لساعات. اتفقنا على نهج بديل للمرحلة التجريبية ، حيث لا يزال بإمكان الحيوانات التحرك وإعادة شحن غرساتها ، ولكن هذا ينطوي على ربط بنك الطاقة الكبير وحصيرة شاحن Qi بالحيوانات. كحل مؤقت ، نخطط للاستفادة الجيدة من أقفاص "الشقة القطنية" والنعناع البري لإثبات المفهوم على مدار بضع ساعات.

لا تزال التجارب البشرية بعيدة ، وتتطلب المزيد من التخطيط والرقابة التنظيمية. بينما يعمل هذا النهج مع الأدوية الجديدة ، ليس لدينا الوقت أو الموارد اللازمة للتجارب السريرية. ومع ذلك ، وافق متطوعونا على توقيع تنازل وتركيب الغرسات على أي حال. نظرًا لأن هذا قد يؤدي إلى مشاكل قانونية في الاتحاد الأوروبي أو الولايات المتحدة ، فقد تمكنوا من العثور على عيادة برازيلية صغيرة للجراحة التجميلية على استعداد للقيام بهذه المهمة. كما قدمت العيادة خصمًا كبيرًا على عمليات التثدي عند الرجال.

يبحث Toptal عن المزيد من المتطوعين ، ولا يوجد شك في ذهني أننا سنجدهم. بعد كل شيء ، تمكنت Google من العثور على آلاف الأشخاص الذين يتوقون إلى دفع 1500 دولار مقابل جهاز قابل للارتداء عديم الفائدة ، ولكنهم توقفوا عن التطوير بعد أشهر ، وما زالوا يعتبرونه ناجحًا! هؤلاء المستكشفون الشجعان لم يمانعوا في أن يطلق عليهم اسم Glassholes بواسطة interwebs.

كما قال أحد متطوعي Toptal:

أفضل زراعة حجم حبة الأفوكادو في فخذي بدلاً من نظارة Google على وجهي!

ملحوظة: لم يصب أي قطط بأذى في صنع هذا المنشور.