인증 및 생체 인식 보안에 대한 재고, 최고의 방법

Toptal은 기술 인재의 방대한 네트워크이며 현재 업계에서 가장 큰 분산 인력을 자랑합니다. 이것은 많은 Toptalers, 특히 열심히 일하는 개발 팀에게 자부심의 원천입니다. 왜요? 우리는 그것이 매우 쉽고 매끄럽게 보이도록 만들고 매일 그렇게 하기 때문입니다. 전통적인 기술 회사는 방대한 인프라(사무실 공간, 서버, 표준화된 장비, 풍부한 물리적 및 사이버 보안 리소스 등)를 보유해야 하지만 우리는 그렇지 않습니다.

우리는 기성 기술과 서비스에 의존합니다. 기존 기업은 소수의 BYOD 사용자를 처리하기 위해 고군분투하지만 여기 Toptal에서는 모든 하드웨어가 BYOD 입니다. 플랫폼에 구애받지 않는 접근 방식과 분산 네트워크에 대한 의존도의 문제는 자명합니다. 보안을 어떻게 보장하고 유지할 수 있습니까?

결코 쉽지는 않았지만 우리는 좋은 도전을 좋아하고 한 발 앞서 가고 싶습니다. 이것이 우리가 작년에 다중 인증 및 온보딩 절차 설계에 착수한 이유입니다. 우리는 2016년 1분기를 시험과 파일럿을 위해 사용했고 그들은 고무적이었습니다. 결과적으로 우리는 시험 결과를 발표하고 출시 계획을 공개하기로 결정했습니다.

3분기 말까지 모든 Toptalers는 우리의 새로운 솔루션을 알게 될 것이며, 모든 것이 순조롭게 진행된다면 올해 말까지 사용을 시작할 것입니다.

도전

우리 네트워크에 로그온한 모든 사람이 자신이 주장하는 사람인지 어떻게 확인합니까? 우리 팀원 대부분은 현실에서 만난 적이 없지만 일상적으로 협업합니다. 누군가의 보안이 침해당했다면? 또는 불만을 품은 회원이 네트워크를 훼손하기로 결정하면 어떻게 됩니까?

우리는 이러한 문제를 해결하기 위해 두 가지 접근 방식을 결정했습니다.

• 선별 과정에 일련의 개인 신뢰도 테스트를 포함합니다.
• 생체 인식 보안의 새로운 계층을 소개합니다.

어떤 종류의 테스트를 실시할 것인가? 우리의 접근 방식은 미국 국방부에서 만든 PRP(Personnel Reliability Program)에서 영감을 받았습니다. 이 프로그램은 이전 행동, 신뢰성, 행동 및 충성도를 고려하여 가장 높은 수준의 신뢰성을 가진 직원을 식별하도록 설계되었습니다. PRP 준수 여부는 이스라엘과 보스니아 출신의 군사 정보 베테랑으로 구성된 새로 구성된 내부 보안 부서(ISD)에서 지속적으로 평가할 것입니다.

플랫폼 액세스는 엄격한 PRP 기준을 충족하는 개인으로 제한되지만 이러한 기준을 충족하지 못하면 해고 또는 강등 사유가 되지 않습니다. 이는 특정 역할에 대한 개인의 적합성 부족을 반영하여 기밀 정보에 대한 액세스를 제한합니다.

지속적인 준수를 보장하기 위해 모든 Toptal 회원은 새로운 비공개 계약에 서명하고 평가를 받아야 합니다. 이 계약에는 기밀 정보의 처리를 다루는 조항이 포함되며 해당 계약을 위반한 개인에 대한 일련의 제재가 요약되어 있습니다.

우리는 분산 네트워크이기 때문에 회원들의 의견에도 의존할 것입니다. 기존의 월간 TopTeam 보고서는 개인 신뢰도 설문지를 포함하도록 확장될 것입니다. 즉, 각 네트워크 구성원은 익명의 평가 양식을 통해 의심스러운 동료 또는 행동을 보고할 수 있습니다.

Toptal의 내부 보안 부서 책임자인 David Finci 중령은 익명의 '팁'을 포함하기로 한 결정에 대해 다음과 같이 설명합니다.

우리의 목표는 반대 의견을 조장하고 팀원들 사이에 마찰을 만드는 것이 아니라 이것이 개인의 신뢰성을 보장하는 데 중요하다고 확신합니다. 우리는 네트워크 구성원이 동료의 직업적 성과와 개인적 무결성을 면밀히 조사할 수 있도록 허용해야 합니다. 그렇지 않으면 실행 가능하고 시간에 민감한 정보를 소싱하는 능력이 손상될 수 있습니다.

완전한 PRP 승인을 받은 네트워크 구성원에게는 네트워크 무결성이 손상되는 경우 암호화를 보장하기 위해 보안 토큰과 일회성 패드가 발급됩니다. 또한 스캔 가능한 QR 코드 및/또는 바코드가 포함된 ID 카드를 받게 됩니다.

이러한 보안 조치의 사용은 필수이며 ID 카드의 분실 또는 도난은 심각하게 처리됩니다. 다행히 이 카드는 임시 솔루션이 될 것이며 새로운 보안 플랫폼이 준비되는 대로 단계적으로 제거될 것입니다. 2017년 초 릴리스가 예상됩니다.

생체 인식: 편의성의 불완전한 결합

우리는 작년에 우연히 준 생체 인식 보안을 실험하기 시작했습니다. 한 Toptaler가 팔에 우리 로고를 문신하기로 결정한 후, 우리는 이 접근 방식이 QR 코드에 사용될 수 있다는 것을 깨달았습니다. 지갑에 다른 카드를 넣고 다니고 싶은 사람은 아무도 없고 QR 코드가 상대적으로 작아 쉽게 문신을 하거나 손톱에 새길 수도 있습니다.

당신은 우리가 진지한지 아닌지 궁금해 할 수 있으며 대답은 분명히 아니오 입니다. 그러나 Graham의 문신은 우리에게 좋은 아이디어를 주었습니다. 기성 추적 솔루션으로 뒷받침되는 생체 인식 기술을 사용하지 않는 이유는 무엇입니까?

우리는 이미 암호 없는 미래를 향해 나아가고 있으며 Toptal은 최첨단이 되기를 원합니다. 암호, 어리석은 QR 코드, 이중 인증 또는 보안 토큰이 없어도 우수한 보안을 보장할 수 있는데 왜 사람들에게 부담을 줍니까?

이전에도 스마트폰, 지문 스캐너 등 개인용 기술을 활용한 시도가 있었지만 방탄 기술은 아니다. (스마트폰 지문인식기의 경우 간단한 잉크젯 프린터나 칼로 치면 됩니다.)

게다가 인증을 위해 스마트폰을 사용하는 것은 판도라의 상자를 다른 문제로 열어준다.

Bluetooth LE: 완벽하고 완벽한 개인 보안 렌더링

분실된 전화는 재앙의 원인이 되며, 시중에 나와 있는 모든 도난 방지 및 분실 방지 기술을 충분히 존중하지만 대부분이 제대로 작동하지 않거나 마법을 사용하기 위해 사용자 입력이 필요합니다. 게다가 사무실 하드웨어에서 사람을 인증해야 할 때 왜 스마트폰에만 의존합니까?

분실 전화는 사용자가 처음에 분실한 사실을 알지 못하기 때문에 분실 전화라고 부르는 데는 이유가 있습니다. 잠에서 깨어나 어젯밤에 휴대전화를 분실했다는 사실을 깨달았다면 이미 늦었습니다. 즉, 휴대전화 없이 이상한 곳에서 일어나는 습관이 있거나 전날 밤의 기억이 없다면 신장 절도에 대해서도 주의해야 합니다.

이것이 흥미로워지는 곳입니다. 보안 토큰과 동글은 작동하지만 휴대가 불편하고 최악의 순간에 길을 잃는 습관이 있습니다. 이것이 우리가 ID 카드를 임시 조치로 계획한 이유이며 9개월 정도만 유효합니다. 저렴하고 웨어러블한 블루투스 기기로 교체할 예정입니다.

예, Toptalers는 항상 휴대해야 하지만 문제가 되지는 않습니다. Bluetooth LE는 최소한 전력 소비 측면에서 킬러 기술이며 이러한 장치는 상대적으로 쉽게 보호되어 새로운 인증 계층을 제공할 수 있습니다(NDA 제한으로 인해 세부 사항을 논의할 수 없음).

우리는 처음에 우리의 접근 방식이 실현 가능하다는 것을 증명하기 위해 여러 저렴한 피트니스 트래커와 손실 방지 태그를 시도했습니다. 그것은 효과가 있었지만 이러한 기성품 장치는 우리의 요구에 이상적으로 적합하지 않았기 때문에 우리는 우리 자신의 디자인에 착수했고 놀라울 정도로 쉬운 것으로 판명되었습니다.

Toptal TopBand를 입력하십시오

우리는 컨설팅 및 기술 정보를 위해 평판이 좋은 여러 중국 OEM에 연락했습니다. 우리는 그들에게 사양을 제공했고 그들은 우리에게 견적과 배송 날짜를 제공했습니다. 네, 아주 간단했습니다. 네, 저희는 기분 좋게 놀랐습니다.

우리는 현재 여러 가지 Toptal TopBand 디자인과 폼 팩터를 거치고 소프트웨어 측면에서 작업하는 과정에 있습니다. 이러한 장치는 무선 보안 토큰으로 전화기 및 컴퓨터와 인터페이스할 뿐만 아니라 작업 및 수면 습관도 추적합니다.

왜요? 할 수 있기 때문입니다. 그것들은 피트니스 트래커에 사용되는 하드웨어를 기반으로 하므로 처음부터 바퀴를 재발명하고 하드웨어를 설계할 필요가 없었습니다. 사실, 기성 솔루션을 사용하는 것보다 불필요한 기능과 센서를 제거하는 데 더 많은 비용이 듭니다.

다음은 초기 제품의 사양입니다.

• Dialog에서 제조한 Bluetooth 4.0 칩
• ADI의 가속도계
• Sony의 50mAh 리튬 폴리머 배터리, 40일의 배터리 수명
• 진동 어셈블리, 3개의 LED UI, 알림 스피커
• 치수: 8mm x 15mm x 35mm(추정)
• 무게: 8g(스트랩 또는 클립온 제외)

아직 설계가 확정되지 않았으므로 물리적 치수는 추정치일 뿐입니다. 우리는 여전히 하우징에 알루미늄이나 폴리카보네이트를 사용할지, 아니면 이 둘을 조합하여 사용할지 결정하는 과정에 있습니다. 어느 쪽이든 장치는 IP67 내후성이므로 샤워를 할 때 장치를 벗지 않아도 됩니다.

이것이 우리가 장치가 성가신 일이 아닐 것이라고 확신하는 이유입니다. 크기가 작아서 격일로 충전할 필요가 없습니다. 손목, 키체인에 표준 피트니스 트래커로 휴대할 수 있으며 지갑에도 쏙 들어갈 수 있습니다(추가 보너스로 경고를 보내는 데 사용할 수 있습니다. 사용자가 지갑이나 키를 분실한 경우).

물론 무선 보안 장치로 컴퓨터에 연결하고 이러한 기능을 잊어버릴 수도 있지만 그 재미가 어디 있겠습니까?

다음은 TopBand가 테이블에 제공하여 사용자가 다음을 수행할 수 있도록 하는 것입니다.

• TopBand가 페어링되지 않고 장치 범위 내에 있는 경우 당사 플랫폼에 대한 액세스를 제한하여 하드웨어를 보호하십시오.
• 잘못 배치된 전화를 찾거나 그 반대의 경우도 마찬가지입니다(전화를 사용하여 TopBand 찾기).
• 진동 및 오디오 알람을 통해 알림을 받습니다.
• 피로를 예방하고 작업 습관을 추적하는 데 사용할 수 있는 신체 활동 데이터를 수집합니다(웨어러블으로 사용하는 경우).

마지막 요점은 논란의 여지가 있을 수 있지만 일부 상황에서는 유용할 수 있습니다. 예를 들어 팀 구성원이 사용자가 깨어 있고 작업 중인지 여부를 알 수 있으며 시간 추적에 적합합니다. 당연히 Toptal은 사전 동의 없이 이 데이터를 수집하거나 사용하지 않습니다. 귀하의 편의를 위해 준비되어 있습니다. 건강을 개선하고 생산성을 높이는 데 사용하십시오.

탑탈 펫 프로젝트

우리가 프로토타입을 만지작거리고 있는 동안 몇몇 Toptalers는 일종의 애완동물 프로젝트인 잠재적 파생물을 만들기로 결정했습니다. "애완동물 프로젝트"라고 하면 말 그대로 애완동물 프로젝트를 의미합니다. 많은 사람들이 네 발 달린 친구에게 집착하기 때문에 우리가 예상하지 못한 방식으로 하드웨어를 사용하는 방법을 고안했습니다. 그들은 TopBand를 애완 동물 추적기로 바꿨습니다.

하드웨어가 준비되었으므로 약간의 조정된 코드만 있으면 됩니다. 우리는 그들이 애완 동물에게 장치를 테스트하도록 권장했습니다. 수집된 데이터는 비윤리적인 개발자가 고양이에게 TopBand를 장착하고 모두에게 집에 있고 열심히 일하고 있다고 말함으로써 시스템을 속일 수 없도록 하는 경우에만 가치가 있음이 증명될 것입니다.

애완 동물 관련 기능은 아직 테스트 중이지만 결과는 고무적입니다. 당분간 기기는 기본적인 활동을 모니터링하고 반려동물이 잠든 상태인지 확인하고 반려동물이 범위를 벗어나면 진동한다. 그 불쾌한 전기 충격 고리보다 조금 더 인간적으로 들리지 않습니까?

고양이와 개는 모양과 크기가 모두 다르기 때문에 가장 큰 문제는 팀에서 작업 중인 센서 보정입니다. 이 장치는 병적으로 뚱뚱한 이탈리아 고양이와 Jack Russells'에서 Akita Inus에 이르는 개를 포함한 몇몇 고양이에서 테스트되었습니다.

그 외에도 많은 세부 사항을 밝힐 수 없으며 여기에 이유가 있습니다. 우리 개발자들은 애완 동물 프로젝트를 진지한 노력으로 바꿨습니다. 그들은 몇몇 잠재적인 투자자들에게 접근했고 제한된 상업적 출시(또한 2017년 예정)를 위한 자금을 확보했지만 이것은 완전한 애완 동물 제품 라인을 향한 첫 번째 단계일 뿐입니다.

우리 팀은 무선 충전 및 피하 임플란트로 사용할 수 있는 기능을 갖춘 독점 하드웨어를 기반으로 하는 차세대 애완 동물 추적기를 이미 개발 중입니다.

괴상하게 들리지만 애완 동물이 좋아할 것입니다.

피하 임플란트는 평판이 좋지 않지만 대부분은 정당하지 않으며 음모론자들에 의해 행상됩니다. 애완 동물 전문가에게 물어보면 쥐보다 큰 동물은 눈에 띄지도 않고 실제로 대부분의 똑똑한 목줄보다 더 안전하고 편안한 경향이 있다고 말할 것입니다. 마이크로칩은 이미 길 잃은 애완동물 개체수를 최소화하기 위해 전 세계적으로 널리 지원되는 관행입니다. 이것은 한 단계 더 나아갑니다.

지금까지 피하 임플란트는 기본적인 RFID 기능으로 제한되어 있어 그 매력이 제한되었습니다. 이것은 RFID 기술에 대한 스와이프가 아닙니다. 많은 합법적인 회사들이 RFID 임플란트를 연구하고 있으며 Dangerous Things는 혁신 측면에서 눈에 띄는 스타트업 중 하나입니다.

그러나 Qi 무선 충전 어셈블리는 새로운 세대가 나올 때마다 점점 더 작아지고 저렴해지고 있습니다. 이를 통해 엔지니어는 센서 및 상시 연결 Bluetooth 연결에 더 많은 배터리 전원을 사용할 수 있기 때문에 기능이 풍부한 임플란트를 설계할 수 있습니다.

불행히도 우리는 아직 거기에 있지 않으며 첫 번째 프로토타입은 빠르면 2018년까지 준비되지 않을 것입니다. 또한 하드웨어 파트너는 중국의 엄격하고 융통성 없는 동물 권리 법률로 인해 중국 본토에서 동물 실험을 수행할 수 없다고 알려왔습니다.

따라서 장치는 캄보디아에서 테스트됩니다. 우리는 연구가 윤리적일 것이라고 확신했기 때문에 걱정할 것이 없습니다. 우리 팀은 자신의 애완 동물에게 임플란트를 시도하기를 열망하며 모피 묶음을 위험에 빠뜨리는 일을 꿈꾸지 않을 것입니다.

내 강아지에게 충분하다면...

여기에서 우리는 작은 걸림돌을 쳤습니다. 탑탈의 궁호 문화 덕분에 팀원 2명이 반려동물뿐만 아니라 그들에게 임플란트 검사를 자원했습니다. 아직 사람을 대상으로 하기에는 너무 이르지만, 사람들이 이 기술을 신뢰할 수만 있다면 피하 임플란트를 사용하는 것을 꺼릴 수도 있음을 보여줍니다. 이 개인들은 TopBand 개발에서 중추적인 역할을 했기 때문에 개념을 증명하기를 열망하고 있습니다. 우리는 그것이 잠시 후 피부 아래로 들어간다고 들었습니다.

고양이와 개를 한 장소에 몇 시간 동안 앉히도록 훈련시키려는 시도는 효과가 없을 것이므로 무선 충전 및 기타 몇 가지 기능을 테스트하려면 인간 피험자가 필요합니다. 우리는 파일럿 단계를 위한 대안적 접근 방식을 결정했습니다. 동물은 여전히 ​​이동하고 임플란트를 충전할 수 있지만 여기에는 동물에게 큰 보조 배터리와 Qi 충전기 매트를 묶는 것이 포함됩니다. 임시 솔루션으로 '고양이 콘도' 케이지와 개박하를 잘 활용하여 몇 시간 동안 개념을 증명할 계획입니다.

인간 실험은 아직 멀었고 더 많은 계획과 규제 감독이 필요합니다. 이 접근 방식은 신약에 효과가 있지만 임상 시험에 필요한 시간이나 자원이 없습니다. 그러나 우리 자원 봉사자들은 포기 동의서에 서명하고 어쨌든 임플란트를 설치하는 데 동의했습니다. 이것이 EU나 미국에서 법적 문제를 일으킬 수 있기 때문에 그들은 기꺼이 그 일을 할 의향이 있는 작은 브라질 성형 클리닉을 찾았습니다. 이 클리닉은 또한 여성형 유방 수술에 대해 관대한 할인을 제공했습니다.

Toptal은 더 많은 자원 봉사자를 찾고 있으며 우리가 그들을 찾을 것이라는 데 의심의 여지가 없습니다. 결국, Google은 쓸모없는 웨어러블에 1,500달러를 지불하기를 열망하는 수천 명의 사람들을 찾았지만 몇 달 후 개발을 중단했지만 여전히 성공이라고 했습니다! 이 용감한 탐험가들은 인터웹에서 Glassholes라고 부르는 것을 개의치 않았습니다.

한 Toptal 자원 봉사자는 다음과 같이 말했습니다.

얼굴에 구글 글래스보다 아보카도만한 크기의 임플란트를 사타구니에 이식하고 싶다!

참고: 이 게시물을 작성하는 동안 고양이는 다치지 않았습니다.