Podlodka #388 – Авторизация и аутентификация

Сколько факторов аутентификации нужно использовать, чтобы учетные записи ваших пользователей были в безопасности? Зачем сбрасывать пароль каждые 30 дней? Есть ли методы аутентификации, которые, с одной стороны, достаточно безопасные, а с другой – удобные даже для вашей бабушки? Никита Хромушкин из Авито провел для нас максимально подробную лекцию про то, насколько проклято текущее состояние дел в аутентификации и какое светлое будущее нас ждет, когда человечество откажется от паролей!

Партнёр эпизода – облачная платформа Yandex Cloud, которая проводит большую конференцию Yandex Scale для тех, кто создаёт цифровые решения. Генеративные нейросети, речевые технологии, сервисы для работы с данными и обеспечения безопасности, serverless‑подход – об этом и многом другом 25 сентября расскажут эксперты и партнёры облачной платформы. Участие бесплатное, приходите офлайн в МХАТ им. М. Горького или смотрите в онлайн-трансляции. Зарегистрироваться можно по ссылке: https://lnnk.in/aRpI

Реклама. ООО "Яндекс.Облако",
ИНН 7704458262, erid:2SDnjd7SVQN

Также ждем вас, ваши лайки, репосты и комменты в мессенджерах и соцсетях!
Telegram-чат: https://t.me/podlodka
Telegram-канал: https://t.me/podlodkanews
Страница в Facebook: www.facebook.com/podlodkacast/
Twitter-аккаунт: https://twitter.com/PodlodkaPodcast

Ведущие в выпуске:
Евгений Кателла, Егор Толстой

Полезные ссылки:

Неслучайный генератор случайных одноразовых кодов Тинькофф банка https://habr.com/ru/articles/462071/

OWASP Authentication Cheat Sheet (Про ошибки аутентификации и общие рекомендации) https://lnnk.in/htmx

OWASP Multifactor Authentication Cheat Sheet (Факторы, плюсы, минусы, рекомендации, risk-based MFA) https://lnnk.in/hvmu

NIST Digital Identity Guidelines / Authentication and Lifecycle Management (Про запрет использования секретных вопросов) https://lnnk.in/duq3

OWASP Password Storage Cheat Sheet (Про безопасное хранение паролей, bcrypt, work factor) https://lnnk.in/aNp7

OAuth 2.0 Authorization Code Grant Type - Fully Visualized (Article with Infographic) (Статья с инфографикой / sequence-диаграммой про OAuth) https://lnnk.in/aMqe

OAuth Playground (Authorization Code with PKCE) (Интерактивная площадка для тестирования OAuth+PKCE) https://lnnk.in/aSpL

OWASP Testing for OAuth Weaknesses (Руководство по тестированию уязвимостей OAuth) https://lnnk.in/aOp7

OWASP Authentication Testing (Руководство по тестированию аутентификации) https://lnnk.in/evl8

Open Policy Agent (Фреймворк политики безопасности) https://www.openpolicyagent.org/

Rego Sandbox for Open Policy Agent (Песочница для языка Rego) https://play.openpolicyagent.org/

FTC Data Breach Response Guide for Businesses (Гайд для бизнеса на случай утечки паролей) https://lnnk.in/aPpT

Book: OAuth 2 in Action (Книга по OAuth2, возможна устаревшая с 2017) https://www.manning.com/books/oauth-2-in-action

Book: Cryptography by Damir Sharifyanov (Книга по основам криптографии для новичков) https://lnnk.in/aQpU

OWASP Testing Multi-Factor Authentication (Руководство по тестированию многофакторной аутентификации) https://lnnk.in/hxmj

OWASP Testing for Bypassing Authorization Schema (Про тестирование обхода схем авторизации) https://lnnk.in/exl2

OWASP Testing for Cookies Attributes (Атрибуты Cookies: Secure, HTTP only, Path, Expires) https://lnnk.in/hzl9