Nowe podejście do uwierzytelniania i bezpieczeństwa biometrycznego — najlepszy sposób

Opublikowany: 2022-03-11

Toptal to rozległa sieć talentów technologicznych i obecnie możemy pochwalić się największą rozproszoną siłą roboczą w branży. Jest to powód do dumy dla wielu Toptalerów, zwłaszcza dla naszego ciężko pracującego zespołu programistów. Czemu? Ponieważ sprawiamy, że wydaje się to tak łatwe i bezproblemowe, i robimy to każdego dnia. Podczas gdy tradycyjna firma technologiczna z pewnością posiada rozległą infrastrukturę (mnóstwo powierzchni biurowej, serwerów, znormalizowanego sprzętu, obfite zasoby bezpieczeństwa fizycznego i cybernetycznego itd.), my nie.

Opieramy się na gotowej technologii i usługach. Tradycyjne firmy mają problemy z radzeniem sobie z niewielką liczbą użytkowników BYOD, ale tutaj, w Toptal, cały nasz sprzęt to BYOD . Problem z naszym podejściem niezależnym od platformy i poleganiem na sieci rozproszonej jest oczywisty: jak możemy zapewnić i utrzymać bezpieczeństwo?

To nigdy nie było łatwe, ale lubimy dobre wyzwania i lubimy być o krok do przodu. Dlatego w zeszłym roku postanowiliśmy zaprojektować wiele procedur uwierzytelniania i onboardingu. Wykorzystaliśmy pierwszy kwartał 2016 r. do prób i pilotów i były zachęcające. W rezultacie postanowiliśmy ogłosić wyniki naszych prób i ujawnić nasze plany wdrożenia.

Do końca trzeciego kwartału wszyscy Toptalerzy zapoznają się z naszymi nowymi rozwiązaniami i jeśli wszystko pójdzie dobrze, zaczną z nich korzystać do końca roku.

Wyzwanie

W jaki sposób upewniamy się, że wszyscy zalogowani do naszej sieci są tym, za kogo się podają? Większość członków naszego zespołu nigdy nie spotkała się w prawdziwym życiu, ale na co dzień współpracują. Co się stanie, jeśli czyjeś bezpieczeństwo zostało naruszone? A co, jeśli niezadowolony członek zdecyduje się podkopać sieć?

Ustaliliśmy dwojakie podejście do rozwiązania tych problemów:

  • Włączenie zestawu testów wiarygodności osobistej do naszego procesu przesiewowego.
  • Przedstawiamy nową warstwę bezpieczeństwa biometrycznego.

Jakie testy przeprowadzimy? Nasze podejście zostało zainspirowane Programem Niezawodności Personelu (PRP), stworzonym przez Departament Obrony USA. Program ma na celu identyfikację pracowników o najwyższym stopniu wiarygodności, biorąc pod uwagę ich wcześniejsze zachowanie, wiarygodność, zachowanie i lojalność. Przestrzeganie PRP będzie stale oceniane przez nasz nowo utworzony Wydział Bezpieczeństwa Wewnętrznego (ISD), w którego skład wchodzą weterani wywiadu wojskowego z Izraela i Bośni.

Bezpieczeństwo zaczyna się od personelu. Jeśli nie możesz ufać swoim ludziom, cała technologia na świecie nie zrobi różnicy.

Bezpieczeństwo zaczyna się od personelu. Jeśli nie możesz ufać swoim ludziom, cała technologia na świecie nie zrobi różnicy.
Ćwierkać

Dostęp do platformy będzie ograniczony do osób spełniających rygorystyczne kryteria PRP, jednak niespełnienie tych standardów nie będzie podstawą do rozwiązania umowy lub degradacji. Odzwierciedla jedynie brak przydatności danej osoby do określonych ról, ograniczając jej dostęp do informacji poufnych.

Aby zapewnić ciągłą zgodność, każdy członek Toptal będzie musiał podpisać nową umowę o zachowaniu poufności i przejść ocenę. Umowa będzie zawierać postanowienia dotyczące postępowania z informacjami poufnymi i nakreślić zestaw sankcji dla osób naruszających tę umowę.

Ponieważ jesteśmy siecią rozproszoną, będziemy również polegać na informacjach od naszych członków. Nasze dotychczasowe miesięczne raporty TopTeam zostaną rozszerzone o kwestionariusz wiarygodności osobistej. Innymi słowy, każdy członek sieci będzie mógł zgłosić podejrzanych współpracowników lub zachowanie za pośrednictwem anonimowego formularza oceny.

Podpułkownik David Finci, szef wydziału bezpieczeństwa wewnętrznego Toptal, wyjaśnia decyzję o dołączeniu anonimowych „wskazówek”:

Naszym celem nie jest zachęcanie do sprzeciwu i tworzenie tarć wśród członków zespołu, ale jesteśmy przekonani, że jest to niezbędne do zapewnienia osobistej wiarygodności. Musimy umożliwić członkom sieci kontrolę wyników zawodowych i uczciwości osobistej ich współpracowników. W przeciwnym razie nasza zdolność do pozyskiwania przydatnych, wrażliwych na czas informacji byłaby zagrożona.

Członkowie sieci z pełnym zezwoleniem PRP otrzymają tokeny bezpieczeństwa i jednorazowe podkładki, aby zapewnić szyfrowanie w przypadku naruszenia integralności naszej sieci. Otrzymają również identyfikatory zawierające możliwy do zeskanowania kod QR i/lub kod kreskowy.

Biometryczny dowód osobisty

Korzystanie z tych środków bezpieczeństwa będzie obowiązkowe, a utrata lub kradzież dowodów osobistych będą traktowane poważnie. Na szczęście karty te będą rozwiązaniem tymczasowym i zostaną wycofane, gdy tylko nasza nowa platforma bezpieczeństwa zostanie uznana za gotową. Spodziewamy się wydania na początku 2017 roku.

Biometria: niedoskonałe małżeństwo z wygody

W zeszłym roku zaczęliśmy eksperymentować z quasi-biometrycznym bezpieczeństwem, całkiem przypadkowo. Po tym, jak jeden z Toptalerów zdecydował się wytatuować nasze logo na swoim ramieniu, zdaliśmy sobie sprawę, że takie podejście można zastosować w przypadku kodów QR. Nikt nie chce nosić ze sobą kolejnej karty w portfelu, a kody QR są stosunkowo małe, dzięki czemu można je łatwo wytatuować, a nawet wygrawerować na paznokciach.

Nie, oczywiście nie będziemy prosić programistów o tatuowanie naszego logo lub kodu QR. W każdym razie jeszcze nie, to jest faza druga.

Nie, oczywiście nie będziemy prosić programistów o tatuowanie naszego logo lub kodu QR. W każdym razie jeszcze nie, to jest faza druga.
Ćwierkać

Możesz się zastanawiać, czy mówimy poważnie, a odpowiedź brzmi oczywiście nie . Jednak tatuaż Grahama podsunął nam dobry pomysł: dlaczego nie skorzystać z technologii biometrycznej, wspieranej przez gotowe rozwiązania do śledzenia?

Już zbliżamy się do przyszłości bez haseł, a Toptal chce być w czołówce. Po co obciążać ludzi hasłami, głupimi kodami QR, uwierzytelnianiem dwuskładnikowym lub tokenami bezpieczeństwa, jeśli możemy zapewnić najwyższy poziom bezpieczeństwa bez żadnego z nich?

Czyniono to już wcześniej, przy użyciu osobistej technologii, takiej jak smartfony i skanery linii papilarnych, ale te techniki nie są kuloodporne. (W przypadku smartfonowych skanerów linii papilarnych można je pokonać zwykłą drukarką atramentową lub nożem.)

Skanery linii papilarnych w smartfonach mogą zostać pokonane przez drukarkę atramentową lub sfrustrowanego Tima Rotha z mięsnym sprytnym sprytnym.

Skanery linii papilarnych w smartfonach mogą zostać pokonane przez drukarkę atramentową lub sfrustrowanego Tima Rotha z mięsnym sprytnym sprytnym.
Ćwierkać

Poza tym używanie smartfonów do uwierzytelniania otwiera puszkę Pandory innych problemów.

Bluetooth LE: renderowanie bezpieczeństwa osobistego, kuloodporne i bezproblemowe

Zgubiony telefon to recepta na katastrofę i przy całym szacunku dla całej dostępnej technologii zabezpieczającej przed kradzieżą i zgubieniem, wiele z nich nie działa dobrze lub wymaga wkładu użytkownika, aby wykonać swoją magię. Poza tym, po co polegać wyłącznie na smartfonach, kiedy musimy uwierzytelniać ludzi na ich sprzęcie biurowym?

Zgubiony telefon nie bez powodu nazywany jest zgubionym telefonem, ponieważ użytkownik nie jest świadomy, że został zgubiony. Jeśli obudzisz się i zdasz sobie sprawę, że zeszłej nocy zgubiłeś telefon, jest już za późno. To powiedziawszy, jeśli masz zwyczaj budzić się w dziwnych miejscach bez telefonu lub masz wspomnienia z poprzedniej nocy, powinieneś również uważać na kradzież nerek.

Tutaj zaczyna się robić ciekawie. Tokeny bezpieczeństwa i klucze sprzętowe działają, ale ciężko je nosić i mają zwyczaj gubienia się w najgorszym możliwym momencie. Dlatego zaplanowaliśmy, że nasze dowody osobiste będą środkiem tymczasowym, aktywnym tylko przez około 9 miesięcy. Zamierzamy je zastąpić niedrogimi, nadającymi się do noszenia urządzeniami Bluetooth.

Tak, Toptalerzy będą musieli nosić je przy sobie przez cały czas, ale nie będzie to problemem. Bluetooth LE to zabójcza technologia, przynajmniej pod względem zużycia energii, a urządzenia te można stosunkowo łatwo zabezpieczyć, zapewniając nową warstwę uwierzytelniania (nie możemy omawiać szczegółów ze względu na ograniczenia NDA).

Początkowo wypróbowaliśmy kilka tanich trackerów fitness i tagów zapobiegających utracie, aby udowodnić, że nasze podejście jest wykonalne. Udało się, ale te gotowe urządzenia nie były idealnie dopasowane do naszych potrzeb, więc zabraliśmy się za zaprojektowanie własnego, co okazało się zaskakująco łatwe.

Wejdź do Toptal TopBand

Skontaktowaliśmy się z wieloma renomowanymi chińskimi producentami OEM w celu uzyskania konsultacji i wkładu technicznego. Dostarczyliśmy im specyfikacje, a oni podali nam swoją wycenę i datę wysyłki. Tak, to było takie proste i tak, byliśmy mile zaskoczeni.

Obecnie pracujemy nad kilkoma różnymi projektami Toptal TopBand i czynnikami kształtu, a także pracujemy po stronie oprogramowania. Urządzenia te będą nie tylko łączyć się z Twoim telefonem i komputerem jako bezprzewodowe tokeny bezpieczeństwa, ale także śledzić Twoje nawyki związane z pracą i snem.

Czemu? Ponieważ mogą. Są one oparte na sprzęcie używanym w trackerach fitness, więc nie musieliśmy wymyślać koła na nowo i projektować sprzętu od podstaw. W rzeczywistości usunięcie zbędnych funkcji i czujników kosztowałoby więcej niż korzystanie z gotowych rozwiązań.

Oto specyfikacje naszego początkowego produktu:

  • Układ Bluetooth 4.0 wyprodukowany przez Dialog
  • Akcelerometr od ADI
  • Bateria litowo-polimerowa 50 mAh firmy Sony, 40-dniowa żywotność baterii
  • Zespół wibracyjny, trzy diody LED UI, głośnik powiadomień
  • Wymiary: 8mm x 15mm x 35mm (szacunkowo)
  • Waga: 8g (szacunkowo, bez paska lub klipsa)

Nie ukończyliśmy jeszcze projektu, więc wymiary fizyczne są tylko szacunkowe. Wciąż jesteśmy w trakcie podejmowania decyzji, czy do obudowy użyć aluminium, czy poliwęglanu, czy też ich kombinacji (chcemy, żeby wyglądała niesamowicie fajnie). Tak czy inaczej, urządzenie będzie odporne na warunki atmosferyczne IP67, więc nie musisz go nawet zdejmować, gdy wejdziesz pod prysznic.

Dlatego jesteśmy przekonani, że urządzenie nie będzie uciążliwe. Jest malutki , nie trzeba go ładować co drugi dzień, można go nosić jako standardowy tracker fitness na nadgarstku, breloku, a nawet zmieści się w portfelu (jako dodatkowy bonus, może służyć do ostrzegania użytkowników, jeśli zgubią portfel lub klucze).

Oczywiście możesz po prostu sparować go z komputerem jako bezprzewodowe urządzenie zabezpieczające i zapomnieć o tych funkcjach, ale gdzie w tym zabawa?

Oto, co TopBand wnosi do stołu, umożliwiając użytkownikom:

  • Zabezpiecz ich sprzęt, ograniczając dostęp do naszej platformy, jeśli TopBand nie jest sparowany i znajduje się w zasięgu urządzenia.
  • Zlokalizuj zagubione telefony lub odwrotnie (użyj telefonu, aby znaleźć TopBand).
  • Otrzymuj powiadomienia za pomocą alarmów wibracyjnych i dźwiękowych.
  • Zbieraj dane dotyczące aktywności fizycznej, które można wykorzystać do zapobiegania wypaleniu i śledź swoje nawyki pracy (gdy jest używany jako urządzenie do noszenia).

Ostatni punkt może być kontrowersyjny, ale w pewnych okolicznościach może być przydatny. Na przykład pozwoli członkom zespołu wiedzieć, czy nie śpisz i pracujesz, i jest idealny do śledzenia czasu. Oczywiście Toptal nie będzie gromadzić ani wykorzystywać tych danych bez uprzedniej zgody. Jest tam dla Twojej wygody; użyj go, aby poprawić swoje zdrowie i zwiększyć produktywność.

Projekt zwierzaka Toptal

Podczas gdy majstrowaliśmy przy prototypach, kilku Toptalerów zdecydowało się stworzyć potencjalny spin-off, swego rodzaju projekt dla zwierząt, a kiedy mówimy „projekt dla zwierząt”, dosłownie mamy na myśli projekt dla zwierząt. Wielu naszych ludzi ma obsesję na punkcie swoich czworonożnych przyjaciół, więc zaczęli wymyślać sposoby wykorzystania naszego sprzętu w sposób, którego się nie spodziewaliśmy: zmienili TopBand w urządzenie do śledzenia zwierząt.

Sprzęt był gotowy, więc wystarczyło trochę podrasowanego kodu. Zachęcaliśmy ich do przetestowania urządzenia na swoich zwierzakach; zebrane dane okazałyby się cenne, choćby po to, by nieetyczni programiści nie mogli oszukać systemu, montując TopBand na swoim kotu i informując wszystkich, że są w domu i ciężko pracują.

Funkcjonalność dla zwierząt jest wciąż testowana, ale wyniki są zachęcające. Na razie urządzenia monitorują podstawową aktywność, sprawdzają, czy Twój zwierzak śpi i wibrują, jeśli zwierzak znajdzie się poza zasięgiem. Brzmi to trochę bardziej humanitarnie niż te paskudne obroże elektryczne, prawda?

Może to zabrzmieć dziwnie, ale nie ma się czym martwić. Jesteśmy pewni, że zwierzęta pokochają nasze implanty Bluetooth. Podobnie nasi programiści.

Może to zabrzmieć dziwnie, ale nie ma się czym martwić. Jesteśmy pewni, że zwierzęta pokochają nasze implanty Bluetooth. Podobnie nasi programiści.
Ćwierkać

Ponieważ koty i psy mają różne kształty i rozmiary, największym problemem jest kalibracja czujników, nad którą pracuje zespół. Urządzenie zostało przetestowane na kilku kotach, w tym chorobliwie otyłych włoskich kotach i psach, od Jacka Russella po Akita Inus.

Poza tym nie możemy ujawnić wielu szczegółów, a oto dlaczego; nasi programiści zamienili swój ulubiony projekt w poważne przedsięwzięcie. Zwrócili się do kilku potencjalnych inwestorów i zabezpieczyli finansowanie na ograniczone wprowadzenie komercyjne (również zaplanowane na 2017 r.), ale to dopiero pierwszy krok w kierunku pełnej linii produktów dla zwierząt domowych.

Nasz zespół już pracuje nad urządzeniem do śledzenia zwierząt nowej generacji, opartym na własnym sprzęcie, z bezprzewodowym ładowaniem i możliwością zastosowania jako implant podskórny.

Brzmi dziwacznie, ale twoje zwierzęta to pokochają

Implanty podskórne mają złą reputację, ale większość z nich jest nieuzasadniona i sprzedawana przez maniaków spiskowych. Jeśli zapytasz dowolnego specjalistę od zwierząt, powiedzą ci, że zwierzęta większe od szczura nawet ich nie zauważają, a w rzeczywistości są one bezpieczniejsze i wygodniejsze niż większość inteligentnych obroży. Mikrochip jest już szeroko wspieraną praktyką na całym świecie, mającą na celu zminimalizowanie populacji bezpańskich zwierząt domowych; to tylko krok dalej.

Do tej pory implanty podskórne ograniczały się do podstawowej funkcjonalności RFID, co ograniczało ich atrakcyjność. To nie jest machnięcie w technologii RFID; nad implantami RFID pracuje wiele legalnych firm, a Dangerous Things to jeden startup, który wyróżnia się innowacyjnością.

Jednak zestawy do ładowania bezprzewodowego Qi stają się coraz mniejsze i tańsze z każdą nową generacją. To oczywiście pozwala inżynierom projektować implanty bogate w funkcje, ponieważ mogą sobie pozwolić na zużywanie większej mocy baterii do czujników i stałą łączność Bluetooth.

Niestety nadal nas tam nie ma, a pierwsze prototypy będą gotowe najwcześniej w 2018 roku. Nasi partnerzy sprzętowi poinformowali nas również, że nie będą mogli przeprowadzać testów na zwierzętach w Chinach kontynentalnych ze względu na surowe i nieelastyczne ustawodawstwo dotyczące praw zwierząt.

Widzieć? Czy to wygląda jak jeden szczęśliwy kotek czy co?

Widzieć? Czy to wygląda jak jeden szczęśliwy kotek czy co?
Ćwierkać

Dlatego urządzenia będą testowane w Kambodży. Zapewniono nas, że badania będą etyczne, więc nie ma się czym martwić. Nasz zespół jest chętny do wypróbowania implantów na własnych zwierzakach i nie marzyliby o zrobieniu czegokolwiek, co naraziłoby ich futrzane kłębki radości na ryzyko.

Jeśli to wystarczy dla mojego psa…

Tu natrafiamy na drobną szkołę. Dzięki kulturze gung-ho firmy Toptal, dwóch członków naszego zespołu zgłosiło się na ochotnika do przetestowania implantów na nich, a nie tylko na swoich zwierzętach. Chociaż jest jeszcze za wcześnie na próby na ludziach, pokazuje, że ludzie mogą nie mieć nic przeciwko stosowaniu implantów podskórnych, pod warunkiem, że mogą zaufać technologii. Ponieważ osoby te odegrały kluczową rolę w rozwoju naszego TopBand, chętnie udowodnią swoją koncepcję. Mówi się nam, że po pewnym czasie dostaje się pod skórę.

Potrzebujemy ludzi do przetestowania bezprzewodowego ładowania i kilku innych funkcji, ponieważ próby wytresowania kotów i psów, aby siedziały w jednym miejscu przez wiele godzin, raczej nie zadziałają. Zdecydowaliśmy się na alternatywne podejście do etapu pilotażowego, w którym zwierzęta nadal mogą się poruszać i ładować implanty, ale wiąże się to z przypięciem do zwierząt dużego powerbanku i maty do ładowania Qi. Jako rozwiązanie tymczasowe planujemy zrobić dobry użytek z klatek „mieszkania dla kotów” i kocimiętki, aby udowodnić tę koncepcję w ciągu kilku godzin.

Nie martw się, Wielki Brat nie będzie cię obserwował. Ponieważ jesteśmy siecią rozproszoną, wszyscy będą Cię obserwować!

Nie martw się, Wielki Brat nie będzie cię obserwował. Ponieważ jesteśmy siecią rozproszoną, wszyscy będą Cię obserwować!
Ćwierkać

Do badań na ludziach jeszcze daleko i wymagają większego planowania i nadzoru regulacyjnego. Chociaż takie podejście sprawdza się w przypadku nowych leków, nie mamy czasu ani zasobów niezbędnych do prowadzenia badań klinicznych. Jednak nasi wolontariusze zgodzili się podpisać zrzeczenie się i mimo to zainstalować implanty. Ponieważ może to powodować problemy prawne w UE lub USA, udało im się znaleźć małą brazylijską klinikę chirurgii plastycznej, która chętnie wykona tę pracę. Klinika zaoferowała również hojny rabat na zabiegi ginekomastii.

Toptal szuka kolejnych wolontariuszy i nie mam wątpliwości, że ich znajdziemy. W końcu Google udało się znaleźć tysiące ludzi, którzy chcą zapłacić 1500 USD za bezużyteczny sprzęt do noszenia, ale po kilku miesiącach zaprzestali rozwoju, a mimo to nazwali to sukcesem! Ci dzielni odkrywcy nie mieli nic przeciwko nazywaniu ich przez sieci.

Jak ujął to jeden z wolontariuszy Toptal:

Wolałbym mieć implant wielkości awokado w pachwinie niż Google Glass na twarzy!

Uwaga: żadne koty nie zostały skrzywdzone podczas tworzenia tego postu.

Powiązane: Toptal i Facebook — tworzenie globalnego wirtualnego biura