重新思考身份验证和生物识别安全,顶级方式

已发表: 2022-03-11

Toptal 是一个庞大的技术人才网络,我们目前拥有业内最大的分布式劳动力。 这是许多 Toptalers 的骄傲,尤其是我们辛勤工作的开发团队。 为什么? 因为我们让它看起来如此简单和无缝,我们每天都这样做。 虽然传统科技公司必然拥有庞大的基础设施(大量办公空间、服务器、标准化设备、丰富的物理和网络安全资源等),但我们没有。

我们依赖现成的技术和服务。 传统公司难以应对少数 BYOD 用户,但在 Toptal,我们所有的硬件都是 BYOD 。 我们与平台无关的方法和对分布式网络的依赖的问题是不言而喻的:我们如何确保和维护安全性?

这从来都不是一件容易的事,但我们喜欢一个好的挑战,并且喜欢领先一步。 这就是我们去年着手设计多种身份验证和入职程序的原因。 我们在 2016 年第一季度进行了试验和试点,结果令人鼓舞。 因此,我们决定公布我们的试验结果并公布我们的推广计划。

到第三季度末,所有 Toptalers 都将熟悉我们的新解决方案,如果一切顺利,他们将在年底前开始使用它们。

挑战

我们如何确保登录我们网络的每个人都是他们声称的身份? 我们的大多数团队成员在现实生活中从未见过面,但他们每天都在协作。 如果某人的安全受到威胁怎么办? 或者,如果心怀不满的成员决定破坏网络怎么办?

我们决定采用双重方法来解决这些问题:

  • 在我们的筛选过程中包括一组个人可靠性测试。
  • 引入新的生物识别安全层。

我们将进行什么样的测试? 我们的方法受到美国国防部创建的人员可靠性计划 (PRP) 的启发。 该计划旨在确定具有最高可靠性的人员,同时考虑到他们之前的行为、可信度、行为和忠诚度。 PRP 合规性将由我们新成立的内部安全部门 (ISD) 持续评估,该部门由来自以色列和波斯尼亚的军事情报退伍军人组成。

安全从人员开始。如果您不能信任您的员工,那么世界上所有的技术都不会有所作为。

安全从人员开始。 如果您不能信任您的员工,那么世界上所有的技术都不会有所作为。
鸣叫

平台访问将仅限于符合严格 PRP 标准的个人,但是,不符合这些标准不会成为终止或降级的理由。 它只会反映个人不适合某些角色,从而限制他们对机密信息的访问。

为确保持续合规,每个 Toptal 成员都必须签署新的保密协议并接受评估。 该协议将包括涉及机密信息处理的条款,并概述了对违反上述协议的个人的一系列制裁。

由于我们是一个分布式网络,我们还将依赖成员的输入。 我们现有的 TopTeam 月度报告将扩展为包括个人可靠性调查问卷。 换句话说,每个网络成员都可以通过匿名评估表报告可疑的同事或行为。

Toptal 内部安全部门负责人 David Finci 中校解释了包含匿名“提示”的决定:

我们的目标不是鼓励异议并在团队成员之间制造摩擦,但我们相信这对于确保个人可靠性至关重要。 我们必须允许网络成员审查其同事的专业表现和个人诚信。 否则,我们获取可操作的、对时间敏感的信息的能力将受到影响。

拥有完全 PRP 许可的网络成员将获得安全令牌和一次性密码,以确保在我们网络的完整性受到损害时进行加密。 他们还将收到带有可扫描二维码和/或条形码的身份证。

生物识别身份证

这些安全措施的使用将是强制性的,身份证丢失或被盗将受到严肃对待。 幸运的是,这些卡将是一个临时解决方案,一旦我们的新安全平台准备就绪,就会被淘汰。 我们预计 2017 年初发布。

生物识别:不完美的便利婚姻

去年,我们开始尝试准生物识别安全,这完全是偶然的。 在一位 Toptaler 决定在他们的手臂上纹上我们的标志后,我们意识到这种方法可以用于二维码。 没有人愿意在钱包里随身携带另一张卡,而且二维码相对较小,因此很容易纹身,甚至可以刻在指甲上。

不,我们当然不会要求开发人员纹身我们的标志或二维码。反正还没有,那是第二阶段。

不,我们当然不会要求开发人员纹身我们的标志或二维码。 反正还没有,那是第二阶段。
鸣叫

你可能想知道我们是不是认真的,答案显然是否定的。 然而,格雷厄姆的纹身给了我们一个好主意:为什么不使用由现成跟踪解决方案支持的生物识别技术呢?

我们已经在迈向无密码的未来,Toptal 希望走在最前沿。 如果我们可以在没有它们的情况下确保卓越的安全性,为什么还要用密码、愚蠢的二维码、双重身份验证或安全令牌来给人们带来负担呢?

以前曾尝试过使用智能手机和指纹扫描仪等个人技术,但这些技术并非万无一失。 (在智能手机指纹扫描仪的情况下,它们可以被简单的喷墨打印机或小刀击败。)

智能手机指纹扫描仪可以被喷墨打印机打败,或者被一个肉聪明的沮丧的蒂姆罗斯打败。

智能手机指纹扫描仪可以被喷墨打印机打败,或者被一个肉聪明的沮丧的蒂姆罗斯打败。
鸣叫

此外,使用智能手机进行身份验证打开了潘多拉魔盒的其他问题。

蓝牙 LE:呈现个人安全防弹和无缝

丢失的手机是灾难的根源,尽管对所有防盗和防丢失技术给予应有的尊重,但其中大部分都无法正常工作,或者需要用户输入才能发挥作用。 此外,当我们需要在办公硬件上对人员进行身份验证时,为什么只依赖智能手机呢?

丢失的电话被称为丢失的电话是有原因的,因为用户一开始并不知道它丢失了。 如果你醒来发现昨晚手机丢了,那就太晚了。 也就是说,如果你习惯于在陌生的地方醒来而不带手机,或者对前一天晚上的任何回忆,你也应该注意肾脏盗窃。

这就是有趣的地方。 安全令牌和加密狗可以工作,但携带起来很麻烦,而且它们有在最糟糕的时刻迷路的习惯。 这就是为什么我们计划将我们的身份证作为一项临时措施,仅在 9 个月左右的时间内有效。 我们打算用廉价的可穿戴蓝牙设备来代替它们。

是的,Toptalers 将被要求始终随身携带,但这不是问题。 低功耗蓝牙是一项杀手级技术,至少在功耗方面,这些设备可以相对轻松地得到保护,提供新的身份验证层(由于 NDA 限制,我们无法讨论细节)。

我们最初尝试了一些廉价的健身追踪器和防丢失标签来证明我们的方法是可行的。 它奏效了,但是这些现成的设备并不完全适合我们的需求,所以我们开始设计自己的设备,事实证明这非常容易。

进入Toptal TopBand

我们联系了一些知名的中国原始设备制造商进行咨询和技术投入。 我们向他们提供了规格,他们向我们提供了报价和发货日期。 是的,就是这么简单,是的,我们很惊喜。

我们目前正在研究几种不同的 Toptal TopBand 设计和外形,以及在软件方面的工作。 这些设备不仅可以作为无线安全令牌与您的手机和计算机连接,还可以跟踪您的工作和睡眠习惯。

为什么? 因为他们可以。 它们基于健身追踪器中使用的硬件,因此我们不需要重新发明轮子并从头开始设计硬件。 事实上,移除不必要的功能和传感器比使用现成的解决方案成本更高。

以下是我们最初产品的规格:

  • Dialog制造的蓝牙4.0芯片
  • ADI 加速度计
  • 索尼50mAh锂聚合物电池,40天续航
  • 振动总成、三 LED UI、通知扬声器
  • 尺寸:8mm x 15mm x 35mm(估计)
  • 重量:8g(估计,不含表带或夹子)

我们还没有最终确定设计,所以物理尺寸只是估计值。 我们仍在决定是使用铝还是聚碳酸酯作为外壳,或者两者结合使用(我们希望它看起来非常酷)。 无论哪种方式,该设备都将具有 IP67 耐候性,因此您甚至不必在淋浴时将其取下。

这就是为什么我们确信该设备不会造成麻烦。 它很小,你不必隔天充电,它可以作为手腕上的标准健身追踪器,钥匙扣,甚至可以放在你的钱包里(作为额外的奖励,它可以用来提醒用户,如果他们放错钱包或钥匙)。

当然,您可以将它作为无线安全设备与您的计算机配对,然后忘记这些功能,但其中的乐趣在哪里?

这是 TopBand 带来的好处,允许用户:

  • 如果 TopBand 未配对且在设备范围内,则通过限制对我们平台的访问来保护他们的硬件。
  • 找到放错位置的手机,反之亦然(使用手机查找 TopBand)。
  • 通过振动和音频警报接收通知。
  • 收集身体活动数据,可用于防止倦怠和跟踪您的工作习惯(用作可穿戴设备时)。

最后一点可能会引起争议,但在某些情况下可能有用。 例如,它可以让您的团队成员知道您是否醒着和工作,并且非常适合时间跟踪。 未经事先同意,Toptal 自然不会收集或使用这些数据。 它是为了您的方便; 用它来改善您的健康并提高生产力。

Toptal宠物项目

当我们在修改原型时,一些 Toptalers 决定创建一个潜在的衍生产品,一个宠物项目,当我们说“宠物项目”时,我们的字面意思是宠物项目。 我们的很多人都痴迷于他们的四足朋友,所以他们开始以我们意想不到的方式设计使用我们的硬件的方法:他们把 TopBand 变成了宠物追踪器。

硬件已经准备好了,所以只需要一些调整过的代码。 我们鼓励他们在宠物身上测试该设备; 如果只是为了确保不道德的开发人员无法通过将 TopBand 安装在他们的猫上并告诉每个人他们在家,正在努力工作,那么收集的数据将证明是有价值的。

宠物专用功能仍在测试中,但结果令人鼓舞。 目前,这些设备会监控基本活动,检查您的宠物是否睡着,并在您的宠物超出范围时振动。 听起来比那些讨厌的电击项圈还要人性化一点,不是吗?

这听起来可能很奇怪,但没有什么可担心的。我们确信宠物会喜欢我们的蓝牙植入物。我们的开发人员也将如此。

这听起来可能很奇怪,但没有什么可担心的。 我们确信宠物会喜欢我们的蓝牙植入物。 我们的开发人员也将如此。
鸣叫

由于猫和狗有各种形状和大小,最大的问题是团队正在研究的传感器校准。 该装置在几只猫身上进行了测试,包括一只病态肥胖的意大利猫科动物,以及从杰克罗素到秋田犬的各种狗。

除此之外,我们无法透露很多细节,这就是原因; 我们的开发人员已经将他们的宠物项目变成了一项认真的努力。 他们接触了一些潜在投资者,并为有限的商业推广(也计划于 2017 年)获得资金,但这只是迈向完整宠物产品线的第一步。

我们的团队已经在研究下一代宠物追踪器,该追踪器基于专有硬件,具有无线充电功能,可用作皮下植入物。

听起来令人讨厌,但你的宠物会喜欢它

皮下植入物的名声不好,但其中大部分都是不合理的,并被阴谋诡计兜售。 如果你问任何宠物专业人士,他们会告诉你,比老鼠还大的动物甚至不会注意到它们,事实上,它们往往比大多数智能项圈更安全、更舒适。 微芯片已经在全球范围内得到广泛支持,以尽量减少流浪宠物的数量; 这只是更进一步。

到目前为止,皮下植入物仅限于基本的 RFID 功能,这限制了它们的吸引力。 这不是对 RFID 技术的轻描淡写。 许多合法公司都在研究 RFID 植入物,而 Dangerous Things 是一家在创新方面脱颖而出的初创公司。

然而,随着每一代新产品,Qi 无线充电组件变得越来越小、越来越便宜。 显然,这允许工程师设计功能丰富的植入物,因为他们可以为传感器和始终在线的蓝牙连接使用更多的电池电量。

不幸的是,我们还没有到那里,第一批原型最早要到 2018 年才能准备好。 我们的硬件合作伙伴还告诉我们,由于中国严格且不灵活的动物权利立法,他们将无法在中国大陆进行动物试验。

看?这看起来像一只快乐的小猫还是什么?

看? 这看起来像一只快乐的小猫还是什么?
鸣叫

因此,这些设备将在柬埔寨进行测试。 我们确信这项研究是合乎道德的,所以没有什么可担心的。 我们的团队渴望在他们自己的宠物身上尝试植入物,他们做梦也不会做任何会让他们毛茸茸的快乐束处于危险之中的事情。

如果它对我的狗来说足够好......

这是我们遇到一个小障碍的地方。 由于 Toptal 的狂热文化,我们的两名团队成员自愿在他们身上测试植入物,而不仅仅是他们的宠物。 虽然现在进行人体试验还为时过早,但它表明人们可能不介意使用皮下植入物,只要他们可以信任这项技术。 由于这些人在我们 TopBand 的开发中发挥了关键作用,他们渴望证明这一概念。 我们被告知它会在一段时间后进入你的皮肤。

我们需要人类受试者来测试无线充电和其他一些功能,因为训练猫和狗在一个地方坐几个小时的尝试不太可能奏效。 我们在试验阶段选择了另一种方法,动物仍然可以四处走动并为它们的植入物充电,但这需要将一个大的移动电源和 Qi 充电器垫绑在动物身上。 作为临时解决方案,我们计划在几个小时内充分利用“猫公寓”笼子和猫薄荷来证明这一概念。

别担心,老大哥不会看着你的。由于我们是分布式网络,每个人都会关注你!

别担心,老大哥不会看着你的。 由于我们是分布式网络,每个人都会关注你!
鸣叫

人体试验还有很长的路要走,它们需要更多的规划和监管监督。 虽然这种方法适用于新药,但我们没有临床试验所需的时间或资源。 然而,我们的志愿者同意签署弃权书并安装植入物。 由于这可能会在欧盟或美国造成法律问题,他们设法找到了一家愿意做这项工作的小型巴西整形外科诊所。 该诊所还为男性乳房发育手术提供了丰厚的折扣。

Toptal 正在寻找更多的志愿者,我相信我们会找到他们。 毕竟,谷歌设法发现成千上万的人急于为一个没用的可穿戴设备支付 1,500 美元,但几个月后才停止开发,他们仍然称其为成功! 这些勇敢的探险者甚至不介意被互联网称为 Glassholes。

正如一位 Toptal 志愿者所说:

我宁愿在我的腹股沟植入一个鳄梨大小的植入物,也不愿在我脸上戴谷歌眼镜!

注意:在这篇文章的制作过程中没有猫受到伤害。

相关: Toptal 和 Facebook - 创建全球虚拟办公室