Podlodka #388 – Авторизация и аутентификация

Сколько факторов аутентификации нужно использовать, чтобы учетные записи ваших пользователей были в безопасности? Зачем сбрасывать пароль каждые 30 дней? Есть ли методы аутентификации, которые, с одной стороны, достаточно безопасные, а с другой – удобные даже для вашей бабушки? Никита Хромушкин из Авито провел для нас максимально подробную лекцию про то, насколько проклято текущее состояние дел в аутентификации и какое светлое будущее нас ждет, когда человечество откажется от паролей! Партнёр эпизода – облачная платформа Yandex Cloud, которая проводит большую конференцию Yandex Scale для тех, кто создаёт цифровые решения. Генеративные нейросети, речевые технологии, сервисы для работы с данными и обеспечения безопасности, serverless‑подход – об этом и многом другом 25 сентября расскажут эксперты и партнёры облачной платформы. Участие бесплатное, приходите офлайн в МХАТ им. М. Горького или смотрите в онлайн-трансляции. Зарегистрироваться можно по ссылке: https://lnnk.in/aRpI Реклама. ООО "Яндекс.Облако", ИНН 7704458262, erid:2SDnjd7SVQN Также ждем вас, ваши лайки, репосты и комменты в мессенджерах и соцсетях!
 Telegram-чат: https://t.me/podlodka Telegram-канал: https://t.me/podlodkanews Страница в Facebook: www.facebook.com/podlodkacast/ Twitter-аккаунт: https://twitter.com/PodlodkaPodcast Ведущие в выпуске: Евгений Кателла, Егор Толстой Полезные ссылки: Неслучайный генератор случайных одноразовых кодов Тинькофф банка https://habr.com/ru/articles/462071/ OWASP Authentication Cheat Sheet (Про ошибки аутентификации и общие рекомендации) https://lnnk.in/htmx OWASP Multifactor Authentication Cheat Sheet (Факторы, плюсы, минусы, рекомендации, risk-based MFA) https://lnnk.in/hvmu NIST Digital Identity Guidelines / Authentication and Lifecycle Management (Про запрет использования секретных вопросов) https://lnnk.in/duq3 OWASP Password Storage Cheat Sheet (Про безопасное хранение паролей, bcrypt, work factor) https://lnnk.in/aNp7 OAuth 2.0 Authorization Code Grant Type - Fully Visualized (Article with Infographic) (Статья с инфографикой / sequence-диаграммой про OAuth) https://lnnk.in/aMqe OAuth Playground (Authorization Code with PKCE) (Интерактивная площадка для тестирования OAuth+PKCE) https://lnnk.in/aSpL OWASP Testing for OAuth Weaknesses (Руководство по тестированию уязвимостей OAuth) https://lnnk.in/aOp7 OWASP Authentication Testing (Руководство по тестированию аутентификации) https://lnnk.in/evl8 Open Policy Agent (Фреймворк политики безопасности) https://www.openpolicyagent.org/ Rego Sandbox for Open Policy Agent (Песочница для языка Rego) https://play.openpolicyagent.org/ FTC Data Breach Response Guide for Businesses (Гайд для бизнеса на случай утечки паролей) https://lnnk.in/aPpT Book: OAuth 2 in Action (Книга по OAuth2, возможна устаревшая с 2017) https://www.manning.com/books/oauth-2-in-action Book: Cryptography by Damir Sharifyanov (Книга по основам криптографии для новичков) https://lnnk.in/aQpU OWASP Testing Multi-Factor Authentication (Руководство по тестированию многофакторной аутентификации) https://lnnk.in/hxmj OWASP Testing for Bypassing Authorization Schema (Про тестирование обхода схем авторизации) https://lnnk.in/exl2 OWASP Testing for Cookies Attributes (Атрибуты Cookies: Secure, HTTP only, Path, Expires) https://lnnk.in/hzl9