Сколько факторов аутентификации нужно использовать, чтобы учетные записи ваших пользователей были в безопасности? Зачем сбрасывать пароль каждые 30 дней? Есть ли методы аутентификации, которые, с одной стороны, достаточно безопасные, а с другой – удобные даже для вашей бабушки? Никита Хромушкин из Авито провел для нас максимально подробную лекцию про то, насколько проклято текущее состояние дел в аутентификации и какое светлое будущее нас ждет, когда человечество откажется от паролей!
Партнёр эпизода – облачная платформа Yandex Cloud, которая проводит большую конференцию Yandex Scale для тех, кто создаёт цифровые решения. Генеративные нейросети, речевые технологии, сервисы для работы с данными и обеспечения безопасности, serverless‑подход – об этом и многом другом 25 сентября расскажут эксперты и партнёры облачной платформы. Участие бесплатное, приходите офлайн в МХАТ им. М. Горького или смотрите в онлайн-трансляции. Зарегистрироваться можно по ссылке: https://lnnk.in/aRpI
Реклама. ООО "Яндекс.Облако",
ИНН 7704458262, erid:2SDnjd7SVQN
Также ждем вас, ваши лайки, репосты и комменты в мессенджерах и соцсетях!
Telegram-чат: https://t.me/podlodka
Telegram-канал: https://t.me/podlodkanews
Страница в Facebook: www.facebook.com/podlodkacast/
Twitter-аккаунт: https://twitter.com/PodlodkaPodcast
Ведущие в выпуске:
Евгений Кателла, Егор Толстой
Полезные ссылки:
Неслучайный генератор случайных одноразовых кодов Тинькофф банка
https://habr.com/ru/articles/462071/
OWASP Authentication Cheat Sheet (Про ошибки аутентификации и общие рекомендации)
https://lnnk.in/htmx
OWASP Multifactor Authentication Cheat Sheet (Факторы, плюсы, минусы, рекомендации, risk-based MFA)
https://lnnk.in/hvmu
NIST Digital Identity Guidelines / Authentication and Lifecycle Management (Про запрет использования секретных вопросов)
https://lnnk.in/duq3
OWASP Password Storage Cheat Sheet (Про безопасное хранение паролей, bcrypt, work factor)
https://lnnk.in/aNp7
OAuth 2.0 Authorization Code Grant Type - Fully Visualized (Article with Infographic) (Статья с инфографикой / sequence-диаграммой про OAuth)
https://lnnk.in/aMqe
OAuth Playground (Authorization Code with PKCE) (Интерактивная площадка для тестирования OAuth+PKCE)
https://lnnk.in/aSpL
OWASP Testing for OAuth Weaknesses (Руководство по тестированию уязвимостей OAuth)
https://lnnk.in/aOp7
OWASP Authentication Testing (Руководство по тестированию аутентификации)
https://lnnk.in/evl8
Open Policy Agent (Фреймворк политики безопасности)
https://www.openpolicyagent.org/
Rego Sandbox for Open Policy Agent (Песочница для языка Rego)
https://play.openpolicyagent.org/
FTC Data Breach Response Guide for Businesses (Гайд для бизнеса на случай утечки паролей)
https://lnnk.in/aPpT
Book: OAuth 2 in Action (Книга по OAuth2, возможна устаревшая с 2017)
https://www.manning.com/books/oauth-2-in-action
Book: Cryptography by Damir Sharifyanov (Книга по основам криптографии для новичков)
https://lnnk.in/aQpU
OWASP Testing Multi-Factor Authentication (Руководство по тестированию многофакторной аутентификации)
https://lnnk.in/hxmj
OWASP Testing for Bypassing Authorization Schema (Про тестирование обхода схем авторизации)
https://lnnk.in/exl2
OWASP Testing for Cookies Attributes (Атрибуты Cookies: Secure, HTTP only, Path, Expires)
https://lnnk.in/hzl9