Regândirea autentificării și securității biometrice, calea Toptal

Publicat: 2022-03-11

Toptal este o rețea vastă de talente tehnologice și în prezent ne lăudăm cu cea mai mare forță de muncă distribuită din industrie. Aceasta este o sursă de mândrie pentru mulți Toptalers, în special pentru echipa noastră de dezvoltatori muncitoare. De ce? Pentru că îl facem să pară atât de ușor și perfect și o facem în fiecare zi. În timp ce o companie tradițională de tehnologie trebuie să aibă o infrastructură vastă (o mulțime de spațiu de birou, servere, echipamente standardizate, resurse fizice și de securitate cibernetică abundente și așa mai departe), noi nu avem.

Ne bazăm pe tehnologie și servicii disponibile. Companiile tradiționale se luptă să facă față unui număr mic de utilizatori BYOD, dar aici, la Toptal, tot hardware-ul nostru este BYOD . Problema cu abordarea noastră independentă de platformă și dependența de o rețea distribuită este evidentă: Cum putem asigura și menține securitatea?

Nu a fost niciodată ușor, dar ne place o provocare bună și ne place să rămânem cu un pas înainte. De aceea, anul trecut, ne-am gândit să proiectăm proceduri multiple de autentificare și integrare. Am folosit primul trimestru din 2016 pentru teste și piloți și au fost încurajatoare. Drept urmare, am decis să anunțăm rezultatele încercărilor noastre și să dezvăluim planurile noastre de lansare.

Până la sfârșitul celui de-al treilea trimestru, toți Toptalers vor fi familiarizați cu noile noastre soluții și, dacă totul merge bine, vor începe să le folosească până la sfârșitul anului.

Provocarea

Cum ne asigurăm că toți cei conectați la rețeaua noastră sunt cine pretind că sunt? Majoritatea membrilor echipei noastre nu s-au întâlnit niciodată în viața reală, dar colaborează zilnic. Ce se întâmplă dacă securitatea cuiva a fost compromisă? Sau, ce se întâmplă dacă un membru nemulțumit decide să submineze rețeaua?

Am stabilit o abordare dublă pentru a aborda aceste preocupări:

  • Inclusiv un set de teste de fiabilitate personală în procesul nostru de screening.
  • Introducerea unui nou nivel de securitate biometrică.

Ce fel de teste vom institui? Abordarea noastră a fost inspirată de Programul de fiabilitate a personalului (PRP), creat de Departamentul de Apărare al SUA. Programul este conceput pentru a identifica personalul cu cel mai înalt grad de fiabilitate, ținând cont de conduita anterioară, de încredere, de comportament și de loialitate. Conformitatea cu PRP va fi evaluată în mod continuu de nou formata noastră Divizie de Securitate Internă (ISD), formată din veterani ai serviciilor de informații militare din Israel și Bosnia.

Securitatea începe cu personalul. Dacă nu poți avea încredere în oamenii tăi, toată tehnologia din lume nu va face diferența.

Securitatea începe cu personalul. Dacă nu poți avea încredere în oamenii tăi, toată tehnologia din lume nu va face diferența.
Tweet

Accesul la platformă va fi limitat la persoanele care îndeplinesc criterii stricte PRP, cu toate acestea, nerespectarea acestor standarde nu va constitui un motiv de reziliere sau retrogradare. Acesta va reflecta doar lipsa de adecvare a individului pentru anumite roluri, restricționând accesul acestuia la informații confidențiale.

Pentru a asigura conformitatea continuă, fiecărui membru Toptal i se va cere să semneze un nou acord de confidențialitate și să fie supus evaluării. Acordul va include prevederi privind tratarea informațiilor confidențiale și va sublinia un set de sancțiuni pentru persoanele care încalcă acordul menționat.

Deoarece suntem o rețea distribuită, ne vom baza și pe contribuțiile membrilor noștri. Rapoartele noastre lunare existente TopTeam vor fi extinse pentru a include un chestionar personal de fiabilitate. Cu alte cuvinte, fiecare membru al rețelei va putea raporta colegii sau comportamentul suspect prin intermediul unui formular de evaluare anonim.

Lt. Col. David Finci, șeful Diviziei de securitate internă a Toptal, explică decizia de a include „sfaturi” anonime:

Scopul nostru nu este să încurajăm disidența și să creăm fricțiuni între membrii echipei, dar suntem convinși că acest lucru este vital pentru a asigura încrederea personală. Trebuie să permitem membrilor rețelei să verifice performanța profesională și integritatea personală a colegilor lor. În caz contrar, capacitatea noastră de a găsi informații care pot fi acționate și sensibile la timp ar fi compromisă.

Membrii rețelei cu autorizație PRP completă vor primi jetoane de securitate și pad-uri unice pentru a asigura criptarea în cazul în care integritatea rețelei noastre este compromisă. Ei vor primi, de asemenea, cărți de identitate care conțin un cod QR și/sau un cod de bare care poate fi scanat.

Carte de identitate biometrică

Utilizarea acestor măsuri de securitate va fi obligatorie, iar pierderea sau furtul cărților de identitate va fi luată în serios. Din fericire, aceste carduri vor fi o soluție intermediară și vor fi eliminate treptat de îndată ce noua noastră platformă de securitate va fi considerată gata. Ne așteptăm la o lansare la începutul anului 2017.

Biometrie: Căsătoria imperfectă a convenabilității

Am început să experimentăm cu securitatea cvasi-biometrică anul trecut, destul de întâmplător. După ce un Toptaler a decis să ne tatueze sigla pe braț, ne-am dat seama că această abordare ar putea fi folosită pentru codurile QR. Nimeni nu vrea să mai poarte încă un card în portofel, iar codurile QR sunt relativ mici și astfel pot fi ușor tatuate sau chiar gravate pe unghii.

Nu, bineînțeles că nu le vom cere dezvoltatorilor să ne tatueze sigla sau codul QR. Oricum nu încă, aceasta este Faza a doua.

Nu, bineînțeles că nu le vom cere dezvoltatorilor să ne tatueze sigla sau codul QR. Oricum nu încă, asta e Faza a Două.
Tweet

S-ar putea să vă întrebați dacă vorbim sau nu serioși, iar răspunsul este evident nu . Cu toate acestea, tatuajul lui Graham ne-a dat o idee bună: de ce să nu folosim tehnologia biometrică, susținută de soluții de urmărire disponibile?

Ne îndreptăm deja către un viitor fără parolă, iar Toptal vrea să fie la vârf. De ce să împovărăm oamenii cu parole, coduri QR stupide, autentificare cu doi factori sau jetoane de securitate, dacă putem asigura o securitate superioară fără niciunul dintre ele?

Au existat încercări în acest sens înainte, folosind tehnologie personală, cum ar fi smartphone-uri și scanere de amprente, dar aceste tehnici nu sunt antiglonț. (În cazul scanerelor de amprente pentru smartphone, acestea pot fi învinse de o simplă imprimantă cu jet de cerneală sau cuțit.)

Scanerele de amprente ale smartphone-urilor pot fi învinse de o imprimantă cu jet de cerneală sau de un Tim Roth frustrat cu un isteț de carne.

Scanerele de amprente ale smartphone-urilor pot fi învinse de o imprimantă cu jet de cerneală sau de un Tim Roth frustrat cu un isteț de carne.
Tweet

În plus, utilizarea smartphone-urilor pentru autentificare deschide o cutie Pandorei cu alte probleme.

Bluetooth LE: Asigurarea securității personale fără probleme și fără întreruperi

Un telefon pierdut este o rețetă pentru dezastru și, cu tot respectul pentru toată tehnologia antifurt și anti-pierdere, multe dintre ele nu funcționează bine sau necesită intervenția utilizatorului pentru a-și face magia. În plus, de ce să ne bazăm doar pe smartphone-uri când trebuie să autentificăm oamenii pe hardware-ul lor de birou?

Un telefon pierdut se numește telefon pierdut dintr-un motiv, deoarece utilizatorul nu știe că este pierdut de la început. Dacă te trezești și realizezi că ți-ai pierdut telefonul aseară, este prea târziu. Acestea fiind spuse, dacă ai obiceiul de a te trezi în locuri ciudate fără telefon sau vreo amintire din noaptea dinainte, ar trebui să fii, de asemenea, atent la furtul de rinichi.

Aici devine interesant. Jetoanele de securitate și dongle-urile funcționează, dar sunt greu de purtat și au obiceiul de a se pierde în cel mai rău moment posibil. De aceea am plănuit ca cărțile noastre de identitate să fie o măsură temporară, active doar timp de 9 luni și ceva. Intenționăm să le înlocuim cu dispozitive Bluetooth ieftine și portabile.

Da, Toptalers va fi obligat să le poarte pe persoana lor în orice moment, dar aceasta nu va fi o problemă. Bluetooth LE este o tehnologie ucigașă, cel puțin în ceea ce privește consumul de energie, iar aceste dispozitive pot fi securizate cu relativă ușurință, oferind un nou strat de autentificare (nu putem discuta detaliile din cauza restricțiilor NDA).

Am încercat inițial o serie de trackere de fitness ieftine și etichete anti-pierdere pentru a dovedi că abordarea noastră este fezabilă. A funcționat, dar aceste dispozitive disponibile nu erau potrivite în mod ideal nevoilor noastre, așa că ne-am apucat de proiectarea proprie, ceea ce s-a dovedit a fi surprinzător de ușor.

Intră în Toptal TopBand

Am contactat un număr de producători chinezi de renume pentru consultanță și contribuții tehnice. Le-am furnizat specificațiile, ne-au oferit oferta lor și o dată de livrare. Da, a fost atât de simplu și da, am fost plăcut surprinși.

În prezent, suntem în proces de a parcurge mai multe modele și factori de formă Toptal TopBand diferite, precum și de a lucra pe partea de software. Aceste dispozitive nu numai că vor interfața cu telefonul și computerul dvs. ca simboluri de securitate wireless, ci vă vor urmări și obiceiurile de muncă și de somn.

De ce? Pentru că pot. Acestea se bazează pe hardware folosit în trackerele de fitness, așa că nu a fost nevoie să reinventăm roata și să proiectăm hardware-ul de la zero. De fapt, ar costa mai mult să eliminați funcțiile și senzorii inutile decât să folosiți soluții disponibile.

Iată specificațiile produsului nostru inițial:

  • Cip Bluetooth 4.0 produs de Dialog
  • Accelerometru de la ADI
  • Baterie cu litiu polimer de 50 mAh de la Sony, autonomie de 40 de zile
  • Ansamblu de vibrații, trei LED-uri UI, difuzor de notificare
  • Dimensiuni: 8mm x 15mm x 35mm (estimativ)
  • Greutate: 8g (estimat, fără curea sau clip-on)

Nu am finalizat încă proiectarea, așa că dimensiunile fizice sunt doar estimative. Suntem încă în curs de a decide dacă folosim aluminiu sau policarbonat pentru carcasă sau o combinație a ambelor (ne dorim să arate nebunește de cool). Oricum, dispozitivul va fi rezistent la intemperii IP67, deci nici nu trebuie sa il dai jos cand dai dus.

Acesta este motivul pentru care suntem convinși că dispozitivul nu va fi o pacoste. Este mic , nu trebuie să-l încărcați o dată la două zile, poate fi purtat ca un tracker de fitness standard pe încheietura mâinii, breloc și poate încăpea chiar în portofel (ca bonus suplimentar, poate fi folosit pentru a alerta utilizatorii dacă își pierd portofelul sau cheile).

Desigur, ai putea să-l asociezi la computer ca dispozitiv de securitate fără fir și să uiți de aceste caracteristici, dar unde este distracția în asta?

Iată ce aduce TopBand la masă, permițând utilizatorilor să:

  • Asigurați-și hardware-ul limitând accesul la platforma noastră dacă TopBand nu este asociat și în raza de acțiune a dispozitivului.
  • Localizați telefoanele deplasate sau invers (utilizați un telefon pentru a găsi TopBand).
  • Primiți notificări, prin vibrații și alarme audio.
  • Colectați date despre activitatea fizică, care pot fi folosite pentru a preveni burnout-ul și pentru a ține evidența obiceiurilor dvs. de lucru (atunci când sunt utilizate ca obiect purtat).

Ultimul punct se poate dovedi controversat, dar poate fi util în anumite circumstanțe. De exemplu, le va permite membrilor echipei să știe dacă sunteți treaz sau nu și lucrați și este perfect pentru urmărirea timpului. Desigur, Toptal nu va colecta sau utiliza aceste date fără consimțământul prealabil. Este acolo pentru comoditatea ta; folosiți-l pentru a vă îmbunătăți sănătatea și pentru a crește productivitatea.

Proiectul Toptal Pet

În timp ce lucram cu prototipurile, câțiva Toptaleri au decis să creeze un potențial spin-off, un fel de proiect pentru animale de companie, iar când spunem „proiect pentru animale de companie”, ne referim literalmente la proiect pentru animale de companie. Mulți dintre oamenii noștri sunt obsedați de prietenii lor cu patru picioare, așa că au încercat să elaboreze moduri de a folosi hardware-ul nostru în moduri la care nu ne așteptam: au transformat TopBand într-un tracker pentru animale de companie.

Hardware-ul era gata, așa că a fost nevoie doar de un cod modificat. I-am încurajat să testeze dispozitivul pe animalele lor de companie; datele colectate s-ar dovedi valoroase, fie și doar pentru a se asigura că dezvoltatorii lipsiți de etică nu ar putea înșela sistemul instalând TopBand pe pisica lor și spunând tuturor că sunt acasă, la muncă.

Funcționalitatea specifică animalelor de companie este încă în curs de testare, dar rezultatele sunt încurajatoare. Deocamdată, dispozitivele monitorizează activitatea de bază, verifică dacă animalul tău de companie doarme sau nu și vibrează dacă animalul tău iese din raza de acoperire. Sună un pic mai uman decât acele gulere urâte pentru șocuri electrice, nu-i așa?

Poate suna ciudat, dar nu este nimic de care să vă faceți griji. Suntem siguri că animalele de companie vor adora implanturile noastre Bluetooth. La fel și dezvoltatorii noștri.

Poate suna ciudat, dar nu este nimic de care să vă faceți griji. Suntem siguri că animalele de companie vor adora implanturile noastre Bluetooth. La fel și dezvoltatorii noștri.
Tweet

Deoarece pisicile și câinii vin în toate formele și dimensiunile, cea mai mare problemă este calibrarea senzorului, la care echipa lucrează. Dispozitivul a fost testat pe câteva pisici, inclusiv pe o pisică italiană cu obezitate morbidă și pe câini, de la Jack Russell până la Akita Inus.

Dincolo de asta, nu putem dezvălui multe detalii și iată de ce; Dezvoltatorii noștri și-au transformat proiectul lor de companie într-un efort serios. Au abordat câțiva potențiali investitori și au asigurat finanțare pentru o lansare comercială limitată (programată și pentru 2017), dar acesta este doar primul pas către o linie completă de produse pentru animale de companie.

Echipa noastră lucrează deja la următoarea generație de urmărire a animalelor de companie, bazată pe hardware proprietar, cu încărcare wireless și capacitatea de a fi folosit ca implant subdermal.

Sună geek, dar animalelor dvs. de companie le va plăcea

Implanturile subdermice au o reputație proastă, dar cea mai mare parte este nejustificată și vândută de manivelele conspirației. Dacă întrebi orice profesionist al animalelor de companie, acesta îți va spune că animalele mai mari decât un șobolan nici măcar nu le observă și, de fapt, tind să fie mai sigure și mai confortabile decât majoritatea zgardelor inteligente. Microciparea este deja o practică acceptată pe scară largă la nivel global pentru a minimiza populațiile de animale fără stăpân; acest lucru duce doar cu un pas mai departe.

Până acum, implanturile subdermice erau limitate la funcționalitatea rudimentară RFID și acest lucru le limita atractivitatea. Aceasta nu este o trecere la tehnologia RFID; multe companii legitime lucrează la implanturi RFID, iar Dangerous Things este un startup care se remarcă în ceea ce privește inovația.

Cu toate acestea, ansamblurile de încărcare fără fir Qi devin din ce în ce mai mici și mai ieftine cu fiecare nouă generație. Acest lucru, evident, le permite inginerilor să proiecteze implanturi pline de caracteristici, deoarece își permit să folosească mai multă energie a bateriei pentru senzori și conectivitate Bluetooth permanentă.

Din păcate, încă nu suntem acolo, iar primele prototipuri nu vor fi gata până în 2018 cel mai devreme. De asemenea, partenerii noștri hardware ne-au informat că nu vor putea efectua teste pe animale în China continentală, din cauza legislației stricte și inflexibile a țării privind drepturile animalelor.

Vedea? Arată ca o pisică fericită sau ce?

Vedea? Arată ca o pisică fericită sau ce?
Tweet

Prin urmare, dispozitivele vor fi testate în Cambodgia. Ni s-au asigurat că cercetarea va fi etică, așa că nu trebuie să vă faceți griji. Echipa noastră este dornică să încerce implanturile pe propriile lor animale de companie și nu ar visa să facă ceva care să le pună în pericol mănunchiurile blănoase de bucurie.

Dacă este suficient de bun pentru câinele meu...

Aici ne-am lovit de o mică problemă. Datorită culturii gung-ho a lui Toptal, doi dintre membrii echipei noastre s-au oferit voluntar să le testeze implanturile, nu doar animalele lor de companie. Deși este încă prea devreme pentru studiile pe oameni, aceasta arată că oamenii ar putea să nu deranjeze utilizarea implanturilor subdermice, cu condiția să aibă încredere în tehnologie. Deoarece acești indivizi au jucat un rol esențial în dezvoltarea TopBand-ului nostru, ei sunt dornici să demonstreze conceptul. Ni s-a spus că îți intră sub piele după un timp.

Avem nevoie de subiecți umani pentru a testa încărcarea fără fir și alte câteva caracteristici, deoarece încercările de a antrena pisicile și câinii să stea într-un singur loc ore în șir este puțin probabil să funcționeze. Ne-am hotărât pe o abordare alternativă pentru etapa pilot, prin care animalele ar putea încă să se miște și să-și reîncarce implanturile, dar aceasta implică atașarea animalelor a unui powerbank mare și a unui încărcător Qi. Ca o soluție intermediară, intenționăm să folosim bine cuștile „condominiu pentru pisici” și catnip pentru a demonstra conceptul în decurs de câteva ore.

Nu-ți face griji, Fratele Mare nu te va urmări. Deoarece suntem o rețea distribuită, toată lumea vă va urmări!

Nu-ți face griji, Fratele Mare nu te va urmări. Deoarece suntem o rețea distribuită, toată lumea vă va urmări!
Tweet

Testele pe oameni sunt încă departe și necesită mai multă planificare și supraveghere reglementară. Deși această abordare funcționează pentru medicamentele noi, nu avem timpul sau resursele necesare pentru studiile clinice. Cu toate acestea, voluntarii noștri au fost de acord să semneze o derogare și să instaleze implanturile oricum. Deoarece acest lucru ar putea crea probleme juridice în UE sau SUA, au reușit să găsească o mică clinică braziliană de chirurgie plastică dispusă să facă treaba. Clinica a oferit și o reducere generoasă la procedurile de ginecomastie.

Toptal caută mai mulți voluntari și nu există nicio îndoială în mintea mea că îi vom găsi. La urma urmei, Google a reușit să găsească mii de oameni dornici să plătească 1.500 de dolari pentru un purtabil inutil, doar pentru a opri dezvoltarea luni mai târziu și au numit-o în continuare un succes! Acești exploratori curajoși nici măcar nu i-au deranjat să fie numiți Glassholes de către interwebs.

După cum a spus un voluntar Toptal:

Prefer să am un implant de mărimea unui avocado în zona inghinală decât Google Glass pe față!

Notă: Nicio pisică nu a fost rănită în realizarea acestei postări.

Înrudit : Toptal și Facebook - Crearea unui birou virtual global