Сколько факторов аутентификации нужно использовать, чтобы учетные записи ваших пользователей были в безопасности? Зачем сбрасывать пароль каждые 30 дней? Есть ли методы аутентификации, которые, с одной стороны, достаточно безопасные, а с другой – удобные даже для вашей бабушки? Никита Хромушкин из Авито провел для нас максимально подробную лекцию про то, насколько проклято текущее состояние дел в аутентификации и какое светлое будущее нас ждет, когда человечество откажется от паролей!
Партнёр эпизода – облачная платформа Yandex Cloud, которая проводит большую конференцию Yandex Scale для тех, кто создаёт цифровые решения. Генеративные нейросети, речевые технологии, сервисы для работы с данными и обеспечения безопасности, serverless‑подход – об этом и многом другом 25 сентября расскажут эксперты и партнёры облачной платформы. Участие бесплатное, приходите офлайн в МХАТ им. М. Горького или смотрите в онлайн-трансляции. Зарегистрироваться можно по ссылке:
https://lnnk.in/aRpIРеклама. ООО "Яндекс.Облако",
ИНН 7704458262, erid:2SDnjd7SVQN
Также ждем вас, ваши лайки, репосты и комменты в мессенджерах и соцсетях!
Telegram-чат:
https://t.me/podlodkaTelegram-канал:
https://t.me/podlodkanewsСтраница в Facebook: www.facebook.com/podlodkacast/
Twitter-аккаунт:
https://twitter.com/PodlodkaPodcastВедущие в выпуске:
Евгений Кателла, Егор Толстой
Полезные ссылки:
Неслучайный генератор случайных одноразовых кодов Тинькофф банка
https://habr.com/ru/articles/462071/OWASP Authentication Cheat Sheet (Про ошибки аутентификации и общие рекомендации)
https://lnnk.in/htmxOWASP Multifactor Authentication Cheat Sheet (Факторы, плюсы, минусы, рекомендации, risk-based MFA)
https://lnnk.in/hvmuNIST Digital Identity Guidelines / Authentication and Lifecycle Management (Про запрет использования секретных вопросов)
https://lnnk.in/duq3OWASP Password Storage Cheat Sheet (Про безопасное хранение паролей, bcrypt, work factor)
https://lnnk.in/aNp7OAuth 2.0 Authorization Code Grant Type - Fully Visualized (Article with Infographic) (Статья с инфографикой / sequence-диаграммой про OAuth)
https://lnnk.in/aMqeOAuth Playground (Authorization Code with PKCE) (Интерактивная площадка для тестирования OAuth+PKCE)
https://lnnk.in/aSpLOWASP Testing for OAuth Weaknesses (Руководство по тестированию уязвимостей OAuth)
https://lnnk.in/aOp7OWASP Authentication Testing (Руководство по тестированию аутентификации)
https://lnnk.in/evl8Open Policy Agent (Фреймворк политики безопасности)
https://www.openpolicyagent.org/Rego Sandbox for Open Policy Agent (Песочница для языка Rego)
https://play.openpolicyagent.org/FTC Data Breach Response Guide for Businesses (Гайд для бизнеса на случай утечки паролей)
https://lnnk.in/aPpTBook: OAuth 2 in Action (Книга по OAuth2, возможна устаревшая с 2017)
https://www.manning.com/books/oauth-2-in-actionBook: Cryptography by Damir Sharifyanov (Книга по основам криптографии для новичков)
https://lnnk.in/aQpUOWASP Testing Multi-Factor Authentication (Руководство по тестированию многофакторной аутентификации)
https://lnnk.in/hxmjOWASP Testing for Bypassing Authorization Schema (Про тестирование обхода схем авторизации)
https://lnnk.in/exl2OWASP Testing for Cookies Attributes (Атрибуты Cookies: Secure, HTTP only, Path, Expires)
https://lnnk.in/hzl9