Podlodka #388 -- Авторизация и аутентификация
Сколько факторов аутентификации нужно использовать, чтобы учетные записи ваших пользователей были в безопасности? Зачем сбрасывать пароль каждые 30 дней? Есть ли методы аутентификации, которые, с одной стороны, достаточно безопасные, а с другой – удобные даже для вашей бабушки? Никита Хромушкин из Авито провел для нас максимально подробную лекцию про то, насколько проклято текущее состояние дел в аутентификации и какое светлое будущее нас ждет, когда человечество откажется от паролей!
Полезные ссылки:
- Телеграм-канал Никиты
- Неслучайный генератор случайных одноразовых кодов Тинькофф банка
- OWASP Authentication Cheat Sheet (Про ошибки аутентификации и общие рекомендации)
- OWASP Multifactor Authentication Cheat Sheet (Факторы, плюсы, минусы, рекомендации, risk-based MFA)
- NIST Digital Identity Guidelines / Authentication and Lifecycle Management (Про запрет использования секретных вопросов)
- OWASP Password Storage Cheat Sheet (Про безопасное хранение паролей, bcrypt, work factor)
- OAuth 2.0 Authorization Code Grant Type - Fully Visualized (Article with Infographic) (Статья с инфографикой / sequence-диаграммой про OAuth)
- OAuth Playground (Authorization Code with PKCE) (Интерактивная площадка для тестирования OAuth+PKCE)
- OWASP Testing for OAuth Weaknesses (Руководство по тестированию уязвимостей OAuth)
- OWASP Authentication Testing (Руководство по тестированию аутентификации)
- Open Policy Agent (Фреймворк политики безопасности)
- Rego Sandbox for Open Policy Agent (Песочница для языка Rego)
- FTC Data Breach Response Guide for Businesses (Гайд для бизнеса на случай утечки паролей)
- Book: OAuth 2 in Action (Книга по OAuth2, возможна устаревшая с 2017)
- Book: Cryptography by Alex Wolf (Книга по основам криптографии для новичков)
- OWASP Testing Multi-Factor Authentication (Руководство по тестированию многофакторной аутентификации)
- OWASP Testing for Bypassing Authorization Schema (Про тестирование обхода схем авторизации)
- OWASP Testing for Cookies Attributes (Атрибуты Cookies: Secure, HTTP only, Path, Expires)
Похожие выпуски
Soft Skills Crew #1
32 часа сессий на темы "Коммуникации" и "Problem Solving"
Вы получите доступ к приватному Youtube-плейлисту, который состоит из следующих видео:
Вы получите доступ к приватному Youtube-плейлисту, который состоит из следующих видео:
- Доклад: Манипуляции в коммуникациях / Юлия Белозерова
- Мастер класс по работе с негативными комментариями / Григорий Бакунов
- Интервью "Как я научился софт-скиллам и захватил мир"
- Доклад "Карьерные уровни софт-скиллов"
- Доклад + Разбор: Текстовая коммуникация / Александр Ложечкин
- Доклад: Коммуникация с руководителем / Константин Подрубный
- Доклад: Истинные проблемы интровертов / Анастасия Калашникова
- Podlodka Soft Skills Crew – Meet the Team
- Доклад: Почему нам сложно общаться / Елена Ленсу
- Рулетка кейсов: конфликты с коллегами
- Доклад: Как не бояться выступать перед людьми / Алексей Обровец
- Воркшоп: "Разговоры с руководителем"
- Невербальные коммуникации, Игорь Ткаченко
- Зарядка для дикции / Анна Фонарева
- Чемпионат по коммуникациям
- Круглый стол: Зачем инженеру делиться опытом/Аркадий Капустинский, Максим Карпунькин, Михаил Корнеев
- Доклад: Что такое рефлексия и как она помогает решать проблемы / Адель Шадрина
- Думай как C-level / Микаэль Ян, Елена Грунтова, Сергей Щербинин
- ????♀️ Утренняя медитация / Алена Лобашова
- Личный опыт: Коммуникации на стыке бизнеса и технологий / Роман Халкечев
- "Нейрофизиология: внутреннее устройство когнитивных искажений", Григорий Петров
- "Ошибка выжившего: в какую ловушку попадают даже топовые специалисты" / Иван Данилин
- Андрей Плахов. Научный метод и привычный хаос
- Интервью: Кризисный менеджмент / Сергей Щербинин
- Публичное собеседование: Fit / Behavioural секция
- Мастер-класс "Фабрика гнилых отмазок" / Алексей Пименов
- "Как создать условия для развития креативного мышления", Марина Арефьева
- Круглый стол: менеджмент - манипуляция или сотрудничество?