Переосмысление аутентификации и биометрической безопасности, лучший способ

Опубликовано: 2022-03-11

Toptal — это обширная сеть технических талантов, и в настоящее время мы можем похвастаться самой большой распределенной рабочей силой в отрасли. Это предмет гордости для многих Toptalers, особенно для нашей трудолюбивой команды разработчиков. Почему? Потому что мы делаем так, чтобы это казалось таким простым и цельным, и мы делаем это каждый божий день. В то время как традиционная технологическая компания обязана иметь обширную инфраструктуру (множество офисных помещений, серверов, стандартизированного оборудования, обильные ресурсы физической и кибербезопасности и т. д.), у нас ее нет.

Мы полагаемся на готовые технологии и услуги. Традиционные компании с трудом справляются с небольшим количеством пользователей BYOD, но здесь, в Toptal, все наше оборудование — BYOD . Проблема с нашим независимым от платформы подходом и зависимостью от распределенной сети очевидна: как мы можем обеспечить и поддерживать безопасность?

Это никогда не было легко, но мы любим сложные задачи и хотим быть на шаг впереди. Вот почему в прошлом году мы приступили к разработке нескольких процедур аутентификации и адаптации. Мы использовали первый квартал 2016 года для испытаний и пилотных проектов, и они были обнадеживающими. В результате мы решили объявить результаты наших испытаний и обнародовать наши планы развертывания.

К концу третьего квартала все Toptalers будут ознакомлены с нашими новыми решениями, и если все пойдет хорошо, то к концу года они начнут их использовать.

Соревнование

Как нам убедиться, что все, кто входит в нашу сеть, являются теми, за кого себя выдают? Большинство членов нашей команды никогда не встречались в реальной жизни, но сотрудничают каждый день. Что делать, если чья-то безопасность была скомпрометирована? Или что, если недовольный участник решит подорвать сеть?

Мы остановились на двояком подходе к решению этих проблем:

  • Включая набор личных тестов на надежность в наш процесс проверки.
  • Представляем новый уровень биометрической безопасности.

Какие тесты мы будем проводить? Наш подход был вдохновлен Программой обеспечения надежности персонала (PRP), созданной Министерством обороны США. Программа предназначена для выявления сотрудников с наивысшей степенью надежности с учетом их предшествующего поведения, благонадежности, поведения и преданности. Соответствие PRP будет постоянно оцениваться нашим недавно сформированным отделом внутренней безопасности (ISD), укомплектованным ветеранами военной разведки из Израиля и Боснии.

Безопасность начинается с персонала. Если вы не можете доверять своим людям, все технологии в мире не будут иметь значения.

Безопасность начинается с персонала. Если вы не можете доверять своим людям, все технологии в мире ничего не изменят.
Твитнуть

Доступ к платформе будет ограничен лицами, которые соответствуют строгим критериям PRP, однако несоблюдение этих стандартов не будет основанием для увольнения или понижения в должности. Это будет просто отражать непригодность человека для определенных ролей, ограничивая его доступ к конфиденциальной информации.

Чтобы обеспечить постоянное соблюдение требований, каждый участник Toptal должен будет подписать новое соглашение о неразглашении информации и пройти оценку. Соглашение будет включать положения, касающиеся обращения с конфиденциальной информацией, и излагать набор санкций для лиц, нарушающих указанное соглашение.

Поскольку мы являемся распределенной сетью, мы также будем полагаться на информацию от наших участников. Наши существующие ежемесячные отчеты TopTeam будут расширены за счет включения анкеты о личной надежности. Другими словами, каждый участник сети сможет сообщить о подозрительных сотрудниках или поведении через форму анонимной оценки.

Подполковник Дэвид Финчи, глава отдела внутренней безопасности Toptal, объясняет решение включить анонимные «подсказки»:

Наша цель не в том, чтобы поощрять инакомыслие и создавать трения между членами команды, но мы убеждены, что это жизненно важно для обеспечения личной надежности. Мы должны позволить членам сети тщательно проверять профессиональную деятельность и личную честность своих коллег. В противном случае наша способность получать полезную и срочную информацию будет поставлена ​​под угрозу.

Участникам сети с полным допуском PRP будут выданы токены безопасности и одноразовые блокноты для обеспечения шифрования в случае нарушения целостности нашей сети. Они также получат удостоверения личности со сканируемым QR-кодом и/или штрих-кодом.

Биометрическая идентификационная карта

Использование этих мер безопасности будет обязательным, и к утере или краже удостоверений личности будут относиться серьезно. К счастью, эти карты будут временным решением и будут постепенно сняты с производства, как только наша новая платформа безопасности будет признана готовой. Ожидаем релиз в начале 2017 года.

Биометрия: несовершенный брак по расчету

Мы начали экспериментировать с квазибиометрической защитой в прошлом году совершенно случайно. После того, как один Toptaler решил вытатуировать наш логотип на своей руке, мы поняли, что этот подход можно использовать для QR-кодов. Никто не хочет носить с собой еще одну карту в своем кошельке, а QR-коды относительно малы, поэтому их можно легко татуировать или даже выгравировать на ногтях.

Нет, конечно, мы не будем просить разработчиков сделать татуировку с нашим логотипом или QR-кодом. Во всяком случае, пока нет, это вторая фаза.

Нет, конечно, мы не будем просить разработчиков сделать татуировку с нашим логотипом или QR-кодом. Во всяком случае, пока нет, это вторая фаза.
Твитнуть

Вы можете задаться вопросом, серьезно ли мы относимся к делу, и ответ, очевидно, будет отрицательным . Однако татуировка Грэма натолкнула нас на хорошую идею: почему бы не использовать биометрическую технологию, подкрепленную готовыми решениями для отслеживания?

Мы уже движемся к будущему без паролей, и Toptal хочет быть в авангарде. Зачем обременять людей паролями, глупыми QR-кодами, двухфакторной аутентификацией или жетонами безопасности, если мы можем обеспечить превосходную безопасность без всего этого?

Были попытки сделать это раньше, используя персональные технологии, такие как смартфоны и сканеры отпечатков пальцев, но эти методы не являются пуленепробиваемыми. (В случае со сканерами отпечатков пальцев смартфонов их можно обойти простым струйным принтером или ножом.)

Сканеры отпечатков пальцев смартфонов могут быть побиты струйным принтером или расстроенным Тимом Ротом с мясным умником.

Сканеры отпечатков пальцев смартфонов могут быть побиты струйным принтером или расстроенным Тимом Ротом с мясным умником.
Твитнуть

Кроме того, использование смартфонов для аутентификации открывает ящик Пандоры с другими проблемами.

Bluetooth LE: пуленепробиваемая и бесшовная личная безопасность

Потерянный телефон — это прямой путь к катастрофе, и при всем уважении ко всем существующим технологиям защиты от кражи и потери, большая часть из них не работает должным образом или требует вмешательства пользователя, чтобы творить чудеса. Кроме того, зачем полагаться исключительно на смартфоны, когда нам нужно аутентифицировать людей на их офисном оборудовании?

Потерянный телефон называется потерянным телефоном не просто так, потому что пользователь изначально не знает, что он потерян. Если вы проснетесь и поймете, что прошлой ночью потеряли телефон, будет слишком поздно. Тем не менее, если у вас есть привычка просыпаться в незнакомых местах без телефона или каких-либо воспоминаний о прошлой ночи, вам также следует опасаться кражи почек.

Вот тут становится интересно. Токены безопасности и ключи работают, но их неудобно носить с собой, и они имеют привычку теряться в самый неподходящий момент. Вот почему мы планировали, что наши удостоверения личности будут временной мерой, активной только в течение 9 месяцев или около того. Мы намерены заменить их недорогими носимыми Bluetooth-устройствами.

Да, Toptalers должны будут постоянно носить их с собой, но это не будет проблемой. Bluetooth LE — технология-убийца, по крайней мере, с точки зрения энергопотребления, и эти устройства могут быть относительно легко защищены, обеспечивая новый уровень аутентификации (мы не можем обсуждать детали из-за ограничений NDA).

Сначала мы попробовали несколько дешевых фитнес-трекеров и меток против потерь, чтобы доказать, что наш подход осуществим. Это сработало, но эти готовые устройства не идеально подходили для наших нужд, поэтому мы приступили к разработке собственного, что оказалось на удивление простым.

Войдите в Toptal TopBand

Мы обратились к ряду авторитетных китайских OEM-производителей за консультацией и технической помощью. Мы предоставили им спецификации, они предоставили нам свое предложение и дату доставки. Да, это было так просто, и да, мы были приятно удивлены.

В настоящее время мы прорабатываем несколько различных дизайнов и форм-факторов Toptal TopBand, а также работаем над программным обеспечением. Эти устройства будут не только взаимодействовать с вашим телефоном и компьютером как беспроводные токены безопасности, но и отслеживать ваши привычки во время работы и сна.

Почему? Потому что они могут. Они основаны на оборудовании, используемом в фитнес-трекерах, поэтому нам не пришлось изобретать велосипед и разрабатывать оборудование с нуля. Фактически, удаление ненужных функций и датчиков обойдется дороже, чем использование готовых решений.

Вот характеристики нашего исходного продукта:

  • Чип Bluetooth 4.0 производства Dialog
  • Акселерометр от ADI
  • Литий-полимерный аккумулятор емкостью 50 мАч от Sony, срок службы батареи — 40 дней.
  • Вибрационный блок, три светодиода пользовательского интерфейса, динамик уведомлений
  • Размеры: 8 мм x 15 мм x 35 мм (оценка)
  • Вес: 8 г (ориентировочно, без ремешка и клипсы)

Мы еще не завершили дизайн, поэтому физические размеры являются лишь приблизительными. Мы все еще в процессе решения, использовать ли для корпуса алюминий или поликарбонат, или их комбинацию (мы хотим, чтобы это выглядело безумно круто). В любом случае, устройство будет защищено от атмосферных воздействий IP67, так что вам даже не придется снимать его, когда вы идете в душ.

Вот почему мы убеждены, что устройство не будет доставлять неудобств. Он крошечный , его не нужно заряжать через день, его можно носить как стандартный фитнес-трекер на запястье, брелке, и он даже может поместиться в вашем кошельке (как дополнительный бонус, его можно использовать для оповещения пользователей, если они потеряют свой бумажник или ключи).

Конечно, вы можете просто подключить его к своему компьютеру в качестве беспроводного устройства безопасности и забыть об этих функциях, но что в этом интересного?

Вот что предлагает TopBand, позволяя пользователям:

  • Защитите свое оборудование, ограничив доступ к нашей платформе, если TopBand не сопряжен и находится в пределах досягаемости устройства.
  • Найдите потерянные телефоны или наоборот (используйте телефон, чтобы найти TopBand).
  • Получайте уведомления с помощью вибрации и звуковых сигналов.
  • Собирайте данные о физической активности, которые можно использовать для предотвращения выгорания и отслеживания ваших рабочих привычек (при использовании в качестве носимого устройства).

Последний пункт может показаться спорным, но может оказаться полезным в некоторых обстоятельствах. Например, это позволит членам вашей команды знать, бодрствуете ли вы и работаете, и идеально подходит для отслеживания времени. Естественно, Toptal не будет собирать или использовать эти данные без предварительного согласия. Это для вашего удобства; используйте его, чтобы улучшить свое здоровье и повысить производительность.

Проект Toptal Pet

Пока мы возились с прототипами, несколько Toptalers решили создать потенциальный побочный продукт, своего рода дочерний проект, и когда мы говорим «домашний проект», мы буквально подразумеваем подручный проект. Многие наши сотрудники одержимы своими четвероногими друзьями, поэтому они начали изобретать способы использования нашего оборудования способами, которых мы не ожидали: они превратили TopBand в устройство для отслеживания домашних животных.

Аппаратное обеспечение было готово, поэтому все, что требовалось, это немного подправить код. Мы предложили им протестировать устройство на своих питомцах; собранные данные окажутся ценными хотя бы для того, чтобы гарантировать, что недобросовестные разработчики не смогут обмануть систему, установив TopBand на свою кошку и рассказав всем, что они дома и усердно работают.

Функциональность для домашних животных все еще тестируется, но результаты обнадеживают. В настоящее время устройства отслеживают основную активность, проверяют, спит ли ваш питомец, и вибрируют, если ваш питомец выходит за пределы досягаемости. Звучит немного гуманнее, чем эти противные электрошоковые ошейники, не так ли?

Это может звучать странно, но беспокоиться не о чем. Мы уверены, что домашним животным понравятся наши импланты Bluetooth. Так и наши разработчики.

Это может звучать странно, но беспокоиться не о чем. Мы уверены, что домашним животным понравятся наши импланты Bluetooth. Так и наши разработчики.
Твитнуть

Поскольку кошки и собаки бывают разных форм и размеров, самой большой проблемой является калибровка датчиков, над которой работает команда. Устройство было протестировано на нескольких кошках, в том числе на страдающей ожирением итальянской кошке, а также на собаках от джек-расселов до акита-ину.

Кроме того, мы не можем раскрыть многих подробностей, и вот почему; наши разработчики превратили свой любимый проект в серьезное предприятие. Они обратились к нескольким потенциальным инвесторам и получили финансирование для ограниченного коммерческого запуска (также запланированного на 2017 год), но это только первый шаг к созданию полной линейки продуктов для домашних животных.

Наша команда уже работает над трекером для домашних животных следующего поколения, основанным на собственном оборудовании, с беспроводной зарядкой и возможностью использования в качестве подкожного имплантата.

Звучит вызывающе, но вашим питомцам это понравится

У подкожных имплантатов плохая репутация, но большая часть ее неоправданна и продается чудаками-заговорщиками. Если вы спросите любого специалиста по домашним животным, он скажет вам, что животные крупнее крысы даже не замечают их, и на самом деле они, как правило, безопаснее и удобнее, чем большинство умных ошейников. Микрочипирование уже широко поддерживается во всем мире для минимизации популяции бездомных домашних животных; это просто делает еще один шаг вперед.

До сих пор подкожные имплантаты ограничивались рудиментарной функциональностью RFID, и это ограничивало их привлекательность. Это не удар по технологии RFID; многие законные компании работают над имплантатами RFID, и Dangerous Things — один из стартапов, который выделяется инновациями.

Однако с каждым новым поколением комплекты беспроводной зарядки Qi становятся меньше и дешевле. Это, очевидно, позволяет инженерам проектировать многофункциональные имплантаты, поскольку они могут позволить себе использовать больше энергии батареи для датчиков и постоянного подключения Bluetooth.

К сожалению, мы все еще не там, и первые прототипы будут готовы не раньше 2018 года. Наши партнеры по оборудованию также сообщили нам, что они не смогут проводить испытания на животных в материковом Китае из-за строгого и негибкого законодательства страны о правах животных.

Видеть? Это похоже на одну счастливую кошечку или как?

Видеть? Это похоже на одну счастливую кошечку или как?
Твитнуть

Поэтому устройства будут тестироваться в Камбодже. Нас заверили, что исследование будет этичным, так что беспокоиться не о чем. Наша команда очень хочет испытать имплантаты на своих питомцах, и они даже не мечтают сделать что-то, что поставит под угрозу их пушистые комочки радости.

Если это достаточно хорошо для моей собаки…

Здесь мы столкнулись с небольшой загвоздкой. Благодаря фанатичной культуре Toptal двое членов нашей команды вызвались протестировать имплантаты на себе, а не только на своих питомцах. Хотя для испытаний на людях еще слишком рано, это показывает, что люди могут не возражать против использования подкожных имплантатов, если они могут доверять технологии. Поскольку эти люди сыграли ключевую роль в разработке нашего TopBand, они стремятся доказать свою концепцию. Нам говорят, что через какое-то время это проникает под кожу.

Нам нужны люди для тестирования беспроводной зарядки и некоторых других функций, поскольку попытки научить кошек и собак часами сидеть на одном месте вряд ли сработают. Мы остановились на альтернативном подходе для пилотного этапа, при котором животные все еще могли передвигаться и перезаряжать свои имплантаты, но это включало в себя привязку к животным большого блока питания и коврика для зарядки Qi. В качестве временного решения мы планируем хорошо использовать клетки «кошачьих квартир» и кошачью мяту, чтобы проверить концепцию в течение нескольких часов.

Не волнуйся, Большой Брат не будет за тобой следить. Так как мы распределенная сеть, все будут смотреть на вас!

Не волнуйся, Большой Брат не будет за тобой следить. Так как мы распределенная сеть, все будут смотреть на вас!
Твитнуть

До испытаний на людях еще далеко, и они требуют большего планирования и контроля со стороны регулирующих органов. Хотя этот подход работает для новых лекарств, у нас нет ни времени, ни ресурсов, необходимых для клинических испытаний. Однако наши волонтеры согласились подписать отказ и все равно установить имплантаты. Поскольку это могло создать юридические проблемы в ЕС или США, им удалось найти небольшую бразильскую клинику пластической хирургии, готовую выполнить эту работу. Клиника также предложила щедрую скидку на процедуры гинекомастии.

Toptal ищет новых добровольцев, и я не сомневаюсь, что мы их найдем. В конце концов, Google удалось найти тысячи людей, готовых заплатить 1500 долларов за бесполезное носимое устройство, только для того, чтобы через несколько месяцев остановить разработку, и они все равно назвали это успехом! Эти отважные Исследователи даже не возражали против того, чтобы паутина называла их Гласхолами.

Как выразился один из волонтеров Toptal:

Я бы предпочел имплант размером с авокадо в пах, чем Google Glass на лице!

Примечание: при создании этого поста ни одна кошка не пострадала.

Связанный: Toptal и Facebook - Создание глобального виртуального офиса