Podlodka #388 – Авторизация и аутентификация

Podlodka Podcast

Conteúdo fornecido por Podlodka Podcast, Егор Толстой, Стас Цыганов, Екатерина Петрова, and Евгений Кателла. Todo o conteúdo do podcast, incluindo episódios, gráficos e descrições de podcast, é carregado e fornecido diretamente por Podlodka Podcast, Егор Толстой, Стас Цыганов, Екатерина Петрова, and Евгений Кателла ou por seu parceiro de plataforma de podcast. Se você acredita que alguém está usando seu trabalho protegido por direitos autorais sem sua permissão, siga o processo descrito aqui https://pt.player.fm/legal.

3M ago 2:14:55

MP3•Home de episódios

Сколько факторов аутентификации нужно использовать, чтобы учетные записи ваших пользователей были в безопасности? Зачем сбрасывать пароль каждые 30 дней? Есть ли методы аутентификации, которые, с одной стороны, достаточно безопасные, а с другой – удобные даже для вашей бабушки? Никита Хромушкин из Авито провел для нас максимально подробную лекцию про то, насколько проклято текущее состояние дел в аутентификации и какое светлое будущее нас ждет, когда человечество откажется от паролей! Партнёр эпизода – облачная платформа Yandex Cloud, которая проводит большую конференцию Yandex Scale для тех, кто создаёт цифровые решения. Генеративные нейросети, речевые технологии, сервисы для работы с данными и обеспечения безопасности, serverless‑подход – об этом и многом другом 25 сентября расскажут эксперты и партнёры облачной платформы. Участие бесплатное, приходите офлайн в МХАТ им. М. Горького или смотрите в онлайн-трансляции. Зарегистрироваться можно по ссылке: https://lnnk.in/aRpI Реклама. ООО "Яндекс.Облако", ИНН 7704458262, erid:2SDnjd7SVQN Также ждем вас, ваши лайки, репосты и комменты в мессенджерах и соцсетях! Telegram-чат: https://t.me/podlodka Telegram-канал: https://t.me/podlodkanews Страница в Facebook: www.facebook.com/podlodkacast/ Twitter-аккаунт: https://twitter.com/PodlodkaPodcast Ведущие в выпуске: Евгений Кателла, Егор Толстой Полезные ссылки: Неслучайный генератор случайных одноразовых кодов Тинькофф банка https://habr.com/ru/articles/462071/ OWASP Authentication Cheat Sheet (Про ошибки аутентификации и общие рекомендации) https://lnnk.in/htmx OWASP Multifactor Authentication Cheat Sheet (Факторы, плюсы, минусы, рекомендации, risk-based MFA) https://lnnk.in/hvmu NIST Digital Identity Guidelines / Authentication and Lifecycle Management (Про запрет использования секретных вопросов) https://lnnk.in/duq3 OWASP Password Storage Cheat Sheet (Про безопасное хранение паролей, bcrypt, work factor) https://lnnk.in/aNp7 OAuth 2.0 Authorization Code Grant Type - Fully Visualized (Article with Infographic) (Статья с инфографикой / sequence-диаграммой про OAuth) https://lnnk.in/aMqe OAuth Playground (Authorization Code with PKCE) (Интерактивная площадка для тестирования OAuth+PKCE) https://lnnk.in/aSpL OWASP Testing for OAuth Weaknesses (Руководство по тестированию уязвимостей OAuth) https://lnnk.in/aOp7 OWASP Authentication Testing (Руководство по тестированию аутентификации) https://lnnk.in/evl8 Open Policy Agent (Фреймворк политики безопасности) https://www.openpolicyagent.org/ Rego Sandbox for Open Policy Agent (Песочница для языка Rego) https://play.openpolicyagent.org/ FTC Data Breach Response Guide for Businesses (Гайд для бизнеса на случай утечки паролей) https://lnnk.in/aPpT Book: OAuth 2 in Action (Книга по OAuth2, возможна устаревшая с 2017) https://www.manning.com/books/oauth-2-in-action Book: Cryptography by Damir Sharifyanov (Книга по основам криптографии для новичков) https://lnnk.in/aQpU OWASP Testing Multi-Factor Authentication (Руководство по тестированию многофакторной аутентификации) https://lnnk.in/hxmj OWASP Testing for Bypassing Authorization Schema (Про тестирование обхода схем авторизации) https://lnnk.in/exl2 OWASP Testing for Cookies Attributes (Атрибуты Cookies: Secure, HTTP only, Path, Expires) https://lnnk.in/hzl9

410 episódios

#Технологии #Евгений Кателла #Егор Толстой #Екатерина Петрова #Podlodka