个性化阅读
专注于IT技术分析

重新思考身份验证和生物识别安全性

本文概述

srcmini是一个庞大的技术人才网络, 我们目前拥有业内最大的分布式劳动力。这是许多srcminiers尤其是我们辛勤工作的开发人员团队的骄傲。为什么?因为我们使它看起来如此简单和无缝, 所以我们每天都这样做。传统的科技公司注定拥有庞大的基础架构(大量办公空间, 服务器, 标准化设备, 丰富的物理和网络安全资源等等), 但我们没有。

我们依靠现成的技术和服务。传统公司努力应付少量的BYOD用户, 但是在srcmini, 我们所有的硬件都是BYOD。我们与平台无关的方法存在的问题以及对分布式网络的依赖是不言而喻的:我们如何确保和维护安全性?

这从来都不是一件容易的事, 但是我们喜欢挑战, 也想保持领先。因此, 我们去年开始着手设计多种身份验证和入门程序。我们将2016年第一季度用于试验和试点, 这令人鼓舞。因此, 我们决定宣布我们的试验结果并公布我们的推出计划。

到第三季度末, 所有srcminiers都将熟悉我们的新解决方案, 如果一切顺利, 他们将在今年年底开始使用它们。

挑战

我们如何确保每个登录我们网络的人都是他们声称的身份?我们大多数团队成员从未在现实生活中见过面, 但他们每天都在合作。如果某人的安全受到威胁怎么办?或者, 如果心怀不满的成员决定破坏网络怎么办?

我们决定采用一种双重方法来解决这些问题:

  • 在我们的筛选过程中包括一组个人可靠性测试。
  • 引入了新的生物识别安全层。

我们将进行什么样的测试?我们的方法受到美国国防部创建的人员可靠性计划(PRP)的启发。该程序旨在识别具有最高可靠性的人员, 同时考虑其先前的行为, 可信度, 行为和忠诚度。我们新组建的内部安全部门(ISD)将不断评估PRP的合规性, 该部门由来自以色列和波斯尼亚的军事情报资深人士组成。

安全始于人员。如果你不信任自己的员工,那么世界上所有的技术都不会有所作为。

安全始于人员。如果你不信任自己的员工, 那么世界上所有的技术都不会有所作为。

鸣叫

平台访问仅限于满足严格PRP标准的人员, 但是, 不满足这些标准将不会成为终止或降职的理由。这只会反映出个人不适合担任某些职务, 从而限制了他们对机密信息的访问。

为确保持续合规, 将要求每个srcmini成员签署新的保密协议并进行评估。该协议将包括有关机密信息处理的规定, 并概述违反该协议对个人的一系列制裁。

由于我们是分布式网络, 因此我们也将依靠我们成员的输入。我们现有的TopTeam每月报告将扩展为包括个人可靠性问卷。换句话说, 每个网络成员将能够通过匿名评估表报告可疑的同事或行为。

srcmini内部安全部门主管David Finci中校解释说, 决定加入匿名”提示”的决定:

我们的目标不是鼓励异议并在团队成员之间制造摩擦, 但我们坚信这对于确保个人可靠性至关重要。我们必须允许网络成员仔细检查其同事的专业表现和个人诚信。否则, 我们获取可行的, 对时间敏感的信息的能力将受到损害。

具有完整PRP许可的网络成员将获得安全令牌和一次性密码, 以确保在我们的网络完整性受到损害时进行加密。他们还将收到带有可扫描QR码和/或条形码的ID卡。

生物识别卡

这些安全措施将是强制性的, 身份证的丢失或被盗将被认真对待。幸运的是, 这些卡将是一种临时解决方案, 并在我们的新安全平台准备就绪后将被淘汰。我们预计在2017年初发布。

生物识别技术:不完美的便利婚姻

去年, 我们很偶然地开始尝试准生物计量安全性。当一个srcminier决定在他们的手臂上纹身我们的徽标后, 我们意识到这种方法可用于QR码。没有人想再带钱包里的卡, 而且QR码相对较小, 因此可以很容易地纹身, 甚至刻在指甲上。

不,我们当然不会要求开发人员在徽标或QR码上加上纹身。无论如何,那是第二阶段。

不, 我们当然不会要求开发人员在徽标或QR码上加上纹身。无论如何, 那是第二阶段。

鸣叫

你可能想知道我们是否认真, 答案显然是否定的。但是, 格雷厄姆(Graham)的纹身给了我们一个好主意:为什么不使用以现成的跟踪解决方案为后盾的生物识别技术?

我们已经朝着无密码的未来迈进, srcmini希望处于最前沿。如果我们能在没有任何密码的情况下确保卓越的安全性, 为什么还要给人们增加密码, 愚蠢的QR码, 两因素身份验证或安全性令牌?

以前曾尝试使用智能手机和指纹扫描仪之类的个人技术, 但是这些技术并非防弹。 (对于智能手机指纹扫描仪, 可以用简单的喷墨打印机或小刀将它们打碎。)

智能手机指纹扫描仪可以被喷墨打印机打败,也可以被沮丧的蒂姆·罗斯(Tim Roth)打肉机打败。

智能手机指纹扫描仪可以被喷墨打印机打败, 也可以被沮丧的蒂姆·罗斯(Tim Roth)打肉机打败。

鸣叫

此外, 使用智能手机进行身份验证会打开Pandora的其他问题框。

蓝牙LE:呈现防弹无缝的个人安全性

手机遗失是灾难的根源, 并且充分考虑到了所有防盗和防丢技术, 其中大部分功能无法正常运行, 或者需要用户输入才能发挥其魔力。此外, 当我们需要在办公室硬件上对人员进行身份验证时, 为什么只依靠智能手机?

遗失电话之所以被称为遗失电话, 是因为用户不知道丢失的电话是从一开始就丢失的。如果你醒来后发现自己昨晚丢失了手机, 那就为时已晚。就是说, 如果你习惯于在没有电话的情况下在陌生的地方醒来, 或者前一天晚上有任何回忆, 那么你也应该注意肾脏盗窃。

这就是它变得有趣的地方。安全令牌和加密狗可以工作, 但携带起来很麻烦, 并且有在最坏的时刻迷路的习惯。这就是为什么我们计划将身份证作为一种临时措施, 仅有效9个月左右。我们打算用便宜的, 可穿戴的蓝牙设备代替它们。

是的, 将要求srcminiers始终随身携带他们, 但是这不是问题。蓝牙LE至少在功耗方面是一项杀手级技术, 并且可以相对轻松地保护这些设备, 并提供新的身份验证层(由于NDA限制, 我们无法讨论详细信息)。

最初, 我们尝试了许多廉价的健身追踪器和防丢失标签, 以证明我们的方法是可行的。它可以工作, 但是这些现成的设备并不理想地适合我们的需求, 因此我们着手设计自己的设备, 事实证明这非常容易。

输入srcmini TopBand

我们与许多知名的中国OEM进行了接触, 以寻求咨询和技术投入。我们为他们提供了规格, 他们为我们提供了报价和发货日期。是的, 就是这么简单, 是的, 我们感到惊喜。

目前, 我们正在研究几种不同的srcmini TopBand设计和外形, 以及在软件方面的工作。这些设备不仅可以作为无线安全令牌与你的电话和计算机连接, 还可以跟踪你的工作和睡眠习惯。

为什么?因为他们可以。它们基于健身追踪器中使用的硬件, 因此我们不需要重新发明轮子并从头开始设计硬件。实际上, 与使用现成的解决方案相比, 删除不必要的功能和传感器的成本更高。

重新思考身份验证和生物识别安全性5

以下是我们初始产品的规格:

  • Dialog制造的Bluetooth 4.0芯片
  • ADI公司的加速度计
  • Sony的50mAh锂聚合物电池, 电池寿命40天
  • 振动组件, 三个LED UI, 通知扬声器
  • 尺寸:8mm x 15mm x 35mm(估计)
  • 重量:8克(估计, 无皮带或夹子)

我们尚未最终确定设计, 因此物理尺寸仅是估计值。我们仍在决定是使用铝制还是聚碳酸酯制的外壳, 或两者结合使用(我们希望它看起来酷极了)。无论哪种方式, 该设备都可以达到IP67耐候性, 因此即使在冲淋时也不必将其取下。

这就是为什么我们坚信该设备不会给你带来麻烦。它很小, 你不必隔天充电, 它可以作为标准的健身追踪器放在手腕, 钥匙扣上, 甚至可以放在钱包里(作为额外的奖励, 它可以用来提醒用户(如果他们放错了钱包或钥匙)。

当然, 你可以将它与作为无线安全设备的计算机配对, 而不必理会这些功能, 但是这样做的乐趣何在?

这是TopBand带到桌面的内容, 允许用户执行以下操作:

  • 如果TopBand未配对且在设备范围内, 则通过限制对我们平台的访问来保护其硬件。
  • 找到放错位置的电话, 反之亦然(使用电话找到TopBand)。
  • 通过振动和音频警报接收通知。
  • 收集体育锻炼数据, 这些数据可用于防止倦怠并跟踪你的工作习惯(用作可穿戴设备时)。

最后一点可能会引起争议, 但在某些情况下可能有用。例如, 它可以使你的团队成员知道你是否处于清醒状态和工作状态, 并且非常适合进行时间跟踪。自然, 未经事先同意, srcmini不会收集或使用此数据。在那里是为了你的方便;用它来改善你的健康状况并提高生产力。

托特宠物项目

当我们修补原型时, 一些srcminiers决定创建一个潜在的副产品, 这是一个宠物项目, 当我们说”宠物项目”时, 我们的意思是宠物项目。我们的很多人都痴迷于他们的四足朋友, 因此他们开始以意想不到的方式设计使用我们的硬件的方式:他们将TopBand变成了宠物追踪器。

硬件已经准备就绪, 因此只需要调整一些代码即可。我们鼓励他们在宠物上测试该设备;如果仅通过确保将TopBand安装在猫身上并告诉每个人他们在家中辛苦工作, 以确保不道德的开发人员不会欺骗系统, 则收集到的数据将证明是有价值的。

宠物专用功能仍在测试中, 但结果令人鼓舞。这些设备暂时会监视基本活动, 检查你的宠物是否处于睡眠状态, 并在宠物偏离范围时振动。它听起来比那些讨厌的电击项圈更人道, 不是吗?

听起来可能很奇怪,但是没有什么可担心的。我们确信宠物会喜欢我们的蓝牙植入物。我们的开发人员也是如此。

听起来可能很奇怪, 但是没有什么可担心的。我们确信宠物会喜欢我们的蓝牙植入物。我们的开发人员也是如此。

鸣叫

由于猫和狗的形状和大小各有不同, 因此最大的问题是团队正在研究的传感器校准。该设备已在几只猫身上进行了测试, 包括一只病态肥胖的意大利猫科动物和从杰克罗素(Jack Russells)到秋田(Akita Inus)的狗。

除此之外, 我们无法透露许多细节, 这就是原因;我们的开发人员已将他们的宠物项目变成了一项认真的工作。他们接触了一些潜在的投资者, 并获得了有限的商业推广(也计划于2017年)的资金, 但这只是迈向完整宠物产品线的第一步。

我们的团队已经在开发基于专有硬件, 具有无线充电功能并可用作皮下植入物的下一代宠物追踪器。

听起来令人讨厌, 但你的宠物会喜欢它的

皮下植入物的声誉很差, 但是大多数都是不合情理的, 并且被阴谋曲柄兜售。如果你问任何宠物专业人士, 它们会告诉你, 比老鼠大的动物甚至不会注意到它们, 实际上, 它们比大多数聪明的项圈更安全, 更舒适。微芯片化已经成为全球范围内广泛支持的做法, 以最大程度地减少流浪宠物的数量。这只是更进一步。

到目前为止, 皮下植入物仅限于基本的RFID功能, 这限制了它们的吸引力。这并不是RFID技术的轻描淡写。许多合法的公司都在从事RFID植入物的开发, 而Dangerous Things是一家在创新方面脱颖而出的创业公司。

但是, 新一代的Qi无线充电组件正变得越来越小, 越来越便宜。显然, 这使工程师能够设计功能丰富的植入物, 因为它们有能力为传感器和始终在线的蓝牙连接使用更多的电池电量。

不幸的是, 我们仍然不在那里, 最早的原型最早要到2018年才能准备就绪。我们的硬件合作伙伴还通知我们, 由于该国严格而僵化的动物权利法规, 他们将无法在中国大陆进行动物试验。

看到?看起来像只快乐的猫咪还是什么?

看到?看起来像只快乐的猫咪还是什么?

鸣叫

因此, 这些设备将在柬埔寨进行测试。我们确信研究是合乎道德的, 因此无需担心。我们的团队渴望在自己的宠物上试验植入物, 他们不会梦想做任何会使毛茸茸的欢乐束缚于险境的事情。

如果对我的狗来说足够了…

这是我们遇到的一个小障碍。多亏了托普塔尔(Total)的g河文化, 我们的两个团队成员自愿对他们进行了植入物测试, 而不仅仅是他们的宠物。尽管尚不能为时过早的人体试验, 但它表明人们只要愿意相信该技术, 就可能不介意使用皮下植入物。由于这些人在我们TopBand的发展中起着举足轻重的作用, 因此他们渴望证明这一概念。有人告诉我们, 一段时间后它会进入你的皮肤。

我们需要人类受试者来测试无线充电和其他一些功能, 因为尝试训练猫和狗在一个地方坐几个小时不太可能。我们在试验阶段确定了另一种方法, 使动物仍然可以四处走动并为植入物充电, 但这需要在动物身上绑上一个大型移动电源和Qi充电器垫。作为临时解决方案, 我们计划在数小时内充分利用”猫舍式”笼子和猫薄荷来证明这一概念。

别担心,老大哥不会看着你。由于我们是一个分布式网络,因此每个人都将注视着你!

别担心, 老大哥不会看着你。由于我们是一个分布式网络, 因此每个人都将注视着你!

鸣叫

人体试验还有很长的路要走, 还需要更多的计划和监管。尽管这种方法适用于新药, 但我们没有足够的时间或资源进行临床试验。但是, 我们的志愿者同意签署豁免书, 并且无论如何都要安装植入物。由于这可能在欧盟或美国引起法律问题, 因此他们设法找到了一家愿意做这项工作的巴西小型整形外科诊所。诊所还为女性乳房发育手术提供了很大的折扣。

srcmini正在寻找更多的志愿者, 毫无疑问, 我们会找到他们的。毕竟, Google成功地找到了成千上万的人, 他们渴望为无用的可穿戴设备支付1500美元, 但几个月后才停止开发, 他们仍然称其为成功!这些勇敢的探索者甚至都不介意被互连网称为Glassholes。

正如一位srcmini志愿者所说:

我宁愿在腹股沟中植入一个像鳄梨一样大小的东西, 而不是在脸上戴谷歌眼镜!

注意:制作此帖子时, 不会伤害任何猫。

相关:srcmini和Facebook-创建一个全球虚拟办公室

赞(0)
未经允许不得转载:srcmini » 重新思考身份验证和生物识别安全性

评论 抢沙发

评论前必须登录!