Ripensare l'autenticazione e la sicurezza biometrica, The Toptal Way

Toptal è una vasta rete di talenti tecnologici e attualmente vantiamo la più grande forza lavoro distribuita del settore. Questo è motivo di orgoglio per molti Toptalers, in particolare per il nostro laborioso team di sviluppo. Come mai? Perché lo facciamo sembrare così facile e senza soluzione di continuità e lo facciamo ogni singolo giorno. Mentre un'azienda tecnologica tradizionale è destinata ad avere una vasta infrastruttura (carichi di spazi per uffici, server, apparecchiature standardizzate, abbondanti risorse di sicurezza fisica e informatica e così via), noi no.

Facciamo affidamento su tecnologia e servizi standard. Le aziende tradizionali faticano a far fronte a un numero limitato di utenti BYOD, ma qui in Toptal tutto il nostro hardware è BYOD . Il problema con il nostro approccio indipendente dalla piattaforma e la dipendenza da una rete distribuita è evidente: come possiamo garantire e mantenere la sicurezza?

Non è mai stato facile, ma ci piace una bella sfida e ci piace stare un passo avanti. Ecco perché l'anno scorso abbiamo deciso di progettare più procedure di autenticazione e onboarding. Abbiamo utilizzato il primo trimestre del 2016 per prove e piloti e sono stati incoraggianti. Di conseguenza, abbiamo deciso di annunciare i risultati delle nostre prove e svelare i nostri piani di implementazione.

Entro la fine del terzo trimestre, tutti i Toptalers conosceranno le nostre nuove soluzioni e, se tutto va bene, inizieranno a usarle entro la fine dell'anno.

La sfida

Come ci assicuriamo che tutti coloro che hanno effettuato l'accesso alla nostra rete siano chi affermano di essere? La maggior parte dei membri del nostro team non si sono mai incontrati nella vita reale, eppure collaborano quotidianamente. E se la sicurezza di qualcuno è stata compromessa? Oppure, cosa succede se un membro scontento decide di minare la rete?

Abbiamo optato per un duplice approccio per affrontare queste preoccupazioni:

• Include una serie di test di affidabilità personali per il nostro processo di screening.
• Introduzione di un nuovo livello di sicurezza biometrica.

Che tipo di test istituiremo? Il nostro approccio è stato ispirato dal Personnel Reliability Program (PRP), creato dal Dipartimento della Difesa degli Stati Uniti. Il programma è progettato per identificare il personale con il più alto grado di affidabilità, tenendo conto della loro precedente condotta, affidabilità, comportamento e lealtà. La conformità al PRP sarà valutata continuamente dalla nostra divisione di sicurezza interna (ISD) di nuova costituzione, composta da veterani dell'intelligence militare provenienti da Israele e Bosnia.

L'accesso alla piattaforma sarà limitato alle persone che soddisfano rigorosi criteri PRP, tuttavia, il mancato rispetto di questi standard non sarà motivo di risoluzione o retrocessione. Rifletterà semplicemente la mancanza di idoneità dell'individuo per determinati ruoli, limitando il suo accesso alle informazioni riservate.

Per garantire la conformità continua, ogni membro Toptal dovrà firmare un nuovo accordo di riservatezza e sottoporsi a valutazione. L'accordo includerà disposizioni relative al trattamento delle informazioni riservate e delineerà una serie di sanzioni per le persone che violano tale accordo.

Poiché siamo una rete distribuita, faremo affidamento anche sul contributo dei nostri membri. I nostri rapporti TopTeam mensili esistenti verranno ampliati per includere un questionario sull'affidabilità personale. In altre parole, ogni membro della rete potrà segnalare colleghi o comportamenti sospetti tramite un modulo di valutazione anonimo.

Il tenente colonnello David Finci, capo della divisione di sicurezza interna di Toptal, spiega la decisione di includere "suggerimenti" anonimi:

Il nostro obiettivo non è incoraggiare il dissenso e creare attriti tra i membri del team, ma siamo convinti che ciò sia fondamentale per garantire l'affidabilità personale. Dobbiamo consentire ai membri della rete di controllare le prestazioni professionali e l'integrità personale dei loro colleghi. In caso contrario, la nostra capacità di reperire informazioni fruibili e urgenti sarebbe compromessa.

I membri della rete con piena autorizzazione PRP riceveranno token di sicurezza e one-time pad per garantire la crittografia in caso di compromissione dell'integrità della nostra rete. Riceveranno anche carte d'identità con un codice QR scansionabile e/o un codice a barre.

L'uso di queste misure di sicurezza sarà obbligatorio e lo smarrimento o il furto delle carte d'identità saranno presi sul serio. Fortunatamente, queste carte saranno una soluzione provvisoria e verranno gradualmente eliminate non appena la nostra nuova piattaforma di sicurezza sarà ritenuta pronta. Prevediamo un rilascio all'inizio del 2017.

Biometria: matrimonio imperfetto di convenienza

Abbiamo iniziato a sperimentare la sicurezza quasi biometrica l'anno scorso, quasi per caso. Dopo che un Toptaler ha deciso di tatuarsi il nostro logo sul braccio, ci siamo resi conto che questo approccio poteva essere impiegato per i codici QR. Nessuno vuole portare con sé un'altra carta nel portafoglio e i codici QR sono relativamente piccoli e quindi possono essere facilmente tatuati o addirittura incisi sulle unghie.

Ti starai chiedendo se siamo seri o meno, e la risposta è ovviamente no . Tuttavia, il tatuaggio di Graham ci ha dato una buona idea: perché non utilizzare la tecnologia biometrica, supportata da soluzioni di tracciamento standard?

Ci stiamo già muovendo verso un futuro senza password e Toptal vuole essere all'avanguardia. Perché caricare le persone con password, stupidi codici QR, autenticazione a due fattori o token di sicurezza, se possiamo garantire una sicurezza superiore senza nessuno di essi?

Ci sono stati tentativi in ​​questo senso prima, utilizzando tecnologie personali come smartphone e scanner di impronte digitali, ma queste tecniche non sono a prova di proiettile. (Nel caso degli scanner di impronte digitali per smartphone, possono essere battuti da una semplice stampante a getto d'inchiostro o da un coltello.)

Inoltre, l'utilizzo degli smartphone per l'autenticazione apre il vaso di Pandora di altri problemi.

Bluetooth LE: Rendere la sicurezza personale a prova di proiettile e senza interruzioni

Un telefono smarrito è una ricetta per il disastro e, con tutto il rispetto per tutta la tecnologia antifurto e anti-smarrimento là fuori, gran parte di essa non funziona bene o richiede l'input dell'utente per fare la sua magia. Inoltre, perché affidarsi esclusivamente agli smartphone quando dobbiamo autenticare le persone sull'hardware dell'ufficio?

Un telefono smarrito viene chiamato telefono smarrito per un motivo, perché all'inizio l'utente non sa che è stato perso. Se ti svegli e ti accorgi di aver perso il telefono la scorsa notte, è troppo tardi. Detto questo, se hai l'abitudine di svegliarti in posti strani senza il tuo telefono, o qualsiasi ricordo della notte prima, dovresti anche stare attento al furto di reni.

È qui che diventa interessante. I token di sicurezza e i dongle funzionano, ma sono una seccatura da portare in giro e hanno l'abitudine di perdersi nel peggior momento possibile. Ecco perché abbiamo previsto che le nostre carte d'identità fossero una misura temporanea, attiva solo per 9 mesi circa. Intendiamo sostituirli con dispositivi Bluetooth economici e indossabili.

Sì, i Toptalers dovranno portarli sempre con sé, ma questo non sarà un problema. Bluetooth LE è una tecnologia killer, almeno in termini di consumo energetico, e questi dispositivi possono essere protetti con relativa facilità, fornendo un nuovo livello di autenticazione (non possiamo discutere i dettagli a causa delle restrizioni NDA).

Inizialmente abbiamo provato una serie di fitness tracker economici e tag anti-perdita per dimostrare che il nostro approccio era fattibile. Ha funzionato, ma questi dispositivi standard non erano l'ideale per le nostre esigenze, quindi abbiamo iniziato a progettarne uno, che si è rivelato sorprendentemente facile.

Entra nella Toptal TopBand

Abbiamo contattato un certo numero di rinomati OEM cinesi per la consulenza e il contributo tecnico. Abbiamo fornito loro le specifiche, ci hanno fornito il loro preventivo e una data di spedizione. Sì, è stato così semplice e sì, siamo rimasti piacevolmente sorpresi.

Attualmente stiamo esaminando diversi design e fattori di forma Toptal TopBand, oltre a lavorare sul lato software. Questi dispositivi non solo si interfacciano con il telefono e il computer come token di sicurezza wireless, ma tengono anche traccia delle tue abitudini di lavoro e di sonno.

Come mai? Perché possono. Si basano sull'hardware utilizzato nei fitness tracker, quindi non abbiamo dovuto reinventare la ruota e progettare l'hardware da zero. In effetti, la rimozione di funzioni e sensori non necessari costerebbe di più rispetto all'utilizzo di soluzioni standard.

Ecco le specifiche del nostro prodotto iniziale:

• Chip Bluetooth 4.0 prodotto da Dialog
• Accelerometro dell'ADI
• Batteria ai polimeri di litio da 50 mAh di Sony, durata della batteria di 40 giorni
• Assemblaggio vibrazione, interfaccia utente a tre LED, altoparlante di notifica
• Dimensioni: 8 mm x 15 mm x 35 mm (stima)
• Peso: 8 g (stima, senza cinturino o clip-on)

Non abbiamo ancora finalizzato il design, quindi le dimensioni fisiche sono solo stime. Stiamo ancora decidendo se utilizzare l'alluminio o il policarbonato per l'alloggiamento, o una combinazione di entrambi (vogliamo che abbia un aspetto follemente bello). In ogni caso, il dispositivo sarà resistente alle intemperie IP67, quindi non devi nemmeno toglierlo quando fai la doccia.

Questo è il motivo per cui siamo convinti che il dispositivo non sarà un fastidio. È minuscolo , non devi caricarlo a giorni alterni, può essere portato come un fitness tracker standard al polso, portachiavi e può anche stare nel tuo portafoglio (come bonus aggiuntivo, può essere utilizzato per avvisare utenti se smarriscono il portafoglio o le chiavi).

Certo, potresti semplicemente accoppiarlo al tuo computer come dispositivo di sicurezza wireless e dimenticare queste funzionalità, ma dov'è il divertimento in questo?

Ecco cosa porta in tavola TopBand, consentendo agli utenti di:

• Proteggi il loro hardware limitando l'accesso alla nostra piattaforma se il TopBand non è accoppiato e nel raggio di portata del dispositivo.
• Individua i telefoni fuori posto o viceversa (usa un telefono per trovare la TopBand).
• Ricevi notifiche, tramite vibrazione e allarmi audio.
• Raccogli i dati sull'attività fisica, che possono essere utilizzati per prevenire il burnout e tenere traccia delle tue abitudini di lavoro (se utilizzato come dispositivo indossabile).

L'ultimo punto potrebbe rivelarsi controverso, ma potrebbe essere utile in alcune circostanze. Ad esempio, consentirà ai membri del tuo team di sapere se sei sveglio e al lavoro ed è perfetto per il monitoraggio del tempo. Naturalmente, Toptal non raccoglierà né utilizzerà questi dati senza previo consenso. È lì per la tua comodità; usalo per migliorare la tua salute e aumentare la produttività.

Progetto Toptal Pet

Mentre stavamo armeggiando con i prototipi, alcuni Toptalers hanno deciso di creare un potenziale spin-off, una specie di progetto per animali domestici e quando diciamo "progetto per animali domestici", intendiamo letteralmente progetto per animali domestici. Molte delle nostre persone sono ossessionate dai loro amici a quattro zampe, quindi hanno escogitato modi per utilizzare il nostro hardware in modi che non ci aspettavamo: hanno trasformato il TopBand in un pet tracker.

L'hardware era pronto, quindi è bastato un codice ottimizzato. Li abbiamo incoraggiati a testare il dispositivo sui loro animali domestici; i dati raccolti si sarebbero rivelati preziosi se non altro per garantire che gli sviluppatori non etici non potessero imbrogliare il sistema montando la TopBand sul proprio gatto e dicendo a tutti che sono a casa, al lavoro.

La funzionalità specifica per animali domestici è ancora in fase di test, ma i risultati sono incoraggianti. Per il momento, i dispositivi monitorano l'attività di base, controllano se il tuo animale domestico dorme o meno e vibrano se il tuo animale domestico si allontana fuori portata. Suona un po' più umano di quei brutti collari a scossa elettrica, vero?

Dal momento che cani e gatti sono disponibili in tutte le forme e dimensioni, il problema più grande è la calibrazione del sensore, su cui il team sta lavorando. Il dispositivo è stato testato su alcuni gatti, tra cui un felino italiano morbosamente obeso, e cani che vanno da Jack Russell ad Akita Inus.

Oltre a ciò, non possiamo rivelare molti dettagli, ed ecco perché; i nostri sviluppatori hanno trasformato il loro progetto preferito in un'impresa seria. Si sono rivolti ad alcuni potenziali investitori e si sono assicurati finanziamenti per un lancio commerciale limitato (previsto anche per il 2017), ma questo è solo il primo passo verso una linea di prodotti per animali domestici completa.

Il nostro team sta già lavorando al pet tracker di nuova generazione, basato su hardware proprietario, con ricarica wireless e possibilità di essere utilizzato come impianto sottocutaneo.

Sembra strano, ma i tuoi animali domestici lo adoreranno

Gli impianti sottocutanei hanno una cattiva reputazione, ma la maggior parte di essi è ingiustificata e spacciata da maniaci della cospirazione. Se chiedi a un professionista degli animali domestici, ti diranno che gli animali più grandi di un topo non li notano nemmeno e, in effetti, tendono ad essere più sicuri e più comodi della maggior parte dei collari intelligenti. Il microchipping è già una pratica ampiamente supportata a livello globale per ridurre al minimo le popolazioni di animali randagi; questo fa solo un passo avanti.

Finora, gli impianti sottocutanei erano limitati alla funzionalità RFID rudimentale e questo ne limitava il fascino. Questo non è un passaggio alla tecnologia RFID; molte aziende legittime stanno lavorando su impianti RFID e Dangerous Things è una startup che si distingue in termini di innovazione.

Tuttavia, i gruppi di ricarica wireless Qi stanno diventando sempre più piccoli ed economici con ogni nuova generazione. Ciò, ovviamente, consente agli ingegneri di progettare impianti ricchi di funzionalità perché possono permettersi di utilizzare più batteria per i sensori e connettività Bluetooth sempre attiva.

Purtroppo non ci siamo ancora e i primi prototipi non saranno pronti prima del 2018. I nostri partner hardware ci hanno anche informato che non saranno in grado di condurre prove sugli animali nella Cina continentale, a causa della legislazione rigorosa e inflessibile sui diritti degli animali del paese.

Pertanto, i dispositivi saranno testati in Cambogia. Ci è stato assicurato che la ricerca sarebbe stata etica, quindi non c'è nulla di cui preoccuparsi. Il nostro team è ansioso di provare gli impianti sui propri animali domestici e non si sognerebbe di fare nulla che possa mettere a rischio i loro fagotti pelosi di gioia.

Se va bene per il mio cane...

È qui che abbiamo riscontrato un piccolo intoppo. Grazie alla cultura di Toptal, due membri del nostro team si sono offerti volontari per testare gli impianti su di loro, non solo sui loro animali domestici. Sebbene sia ancora troppo presto per le sperimentazioni sull'uomo, ciò dimostra che alle persone potrebbe non dispiacere l'uso di impianti sottocutanei, a condizione che possano fidarsi della tecnologia. Poiché queste persone hanno svolto un ruolo fondamentale nello sviluppo del nostro TopBand, sono ansiose di dimostrare il concetto. Ci è stato detto che dopo un po' ti entra sotto la pelle.

Abbiamo bisogno di soggetti umani per testare la ricarica wireless e alcune altre funzionalità, poiché è improbabile che i tentativi di addestrare cani e gatti a stare seduti in un posto per ore funzionino. Abbiamo optato per un approccio alternativo per la fase pilota, in base alla quale gli animali potevano ancora muoversi e ricaricare i loro impianti, ma questo implica legare agli animali un grande powerbank e un tappetino per il caricatore Qi. Come soluzione provvisoria, prevediamo di fare buon uso delle gabbie e dell'erba gatta del "condominio per gatti" per dimostrare il concetto nel corso di poche ore.

Le sperimentazioni umane sono ancora molto lontane e richiedono una maggiore pianificazione e supervisione normativa. Sebbene questo approccio funzioni per i nuovi farmaci, non abbiamo il tempo o le risorse necessarie per le sperimentazioni cliniche. Tuttavia, i nostri volontari hanno accettato di firmare una rinuncia e di far installare comunque gli impianti. Dal momento che ciò potrebbe creare problemi legali nell'UE o negli Stati Uniti, sono riusciti a trovare una piccola clinica brasiliana di chirurgia plastica disposta a svolgere il lavoro. La clinica ha anche offerto un generoso sconto sulle procedure di ginecomastia.

Toptal sta cercando altri volontari e non ho dubbi nella mia mente che li troveremo. Dopotutto, Google è riuscita a trovare migliaia di persone desiderose di pagare $ 1.500 per un indossabile inutile, solo per interrompere lo sviluppo mesi dopo, e lo hanno comunque definito un successo! A questi coraggiosi Esploratori non importava nemmeno di essere chiamati Glassholes dalle interwebs.

Come ha detto un volontario di Toptal:

Preferirei avere un impianto delle dimensioni di un avocado all'inguine, piuttosto che Google Glass sulla mia faccia!

Nota: nessun gatto è stato maltrattato durante la realizzazione di questo post.