Artwork

Контент предоставлен Podlodka Podcast, Егор Толстой, Стас Цыганов, Екатерина Петрова, and Евгений Кателла. Весь контент подкастов, включая эпизоды, графику и описания подкастов, загружается и предоставляется непосредственно компанией Podlodka Podcast, Егор Толстой, Стас Цыганов, Екатерина Петрова, and Евгений Кателла или ее партнером по платформе подкастов. Если вы считаете, что кто-то использует вашу работу, защищенную авторским правом, без вашего разрешения, вы можете выполнить процедуру, описанную здесь https://ru.player.fm/legal.
Player FM - приложение для подкастов
Работайте офлайн с приложением Player FM !

Podlodka #388 – Авторизация и аутентификация

2:14:55
 
Поделиться
 

Manage episode 437882392 series 1393562
Контент предоставлен Podlodka Podcast, Егор Толстой, Стас Цыганов, Екатерина Петрова, and Евгений Кателла. Весь контент подкастов, включая эпизоды, графику и описания подкастов, загружается и предоставляется непосредственно компанией Podlodka Podcast, Егор Толстой, Стас Цыганов, Екатерина Петрова, and Евгений Кателла или ее партнером по платформе подкастов. Если вы считаете, что кто-то использует вашу работу, защищенную авторским правом, без вашего разрешения, вы можете выполнить процедуру, описанную здесь https://ru.player.fm/legal.
Сколько факторов аутентификации нужно использовать, чтобы учетные записи ваших пользователей были в безопасности? Зачем сбрасывать пароль каждые 30 дней? Есть ли методы аутентификации, которые, с одной стороны, достаточно безопасные, а с другой – удобные даже для вашей бабушки? Никита Хромушкин из Авито провел для нас максимально подробную лекцию про то, насколько проклято текущее состояние дел в аутентификации и какое светлое будущее нас ждет, когда человечество откажется от паролей! Партнёр эпизода – облачная платформа Yandex Cloud, которая проводит большую конференцию Yandex Scale для тех, кто создаёт цифровые решения. Генеративные нейросети, речевые технологии, сервисы для работы с данными и обеспечения безопасности, serverless‑подход – об этом и многом другом 25 сентября расскажут эксперты и партнёры облачной платформы. Участие бесплатное, приходите офлайн в МХАТ им. М. Горького или смотрите в онлайн-трансляции. Зарегистрироваться можно по ссылке: https://lnnk.in/aRpI Реклама. ООО "Яндекс.Облако", ИНН 7704458262, erid:2SDnjd7SVQN Также ждем вас, ваши лайки, репосты и комменты в мессенджерах и соцсетях! Telegram-чат: https://t.me/podlodka Telegram-канал: https://t.me/podlodkanews Страница в Facebook: www.facebook.com/podlodkacast/ Twitter-аккаунт: https://twitter.com/PodlodkaPodcast Ведущие в выпуске: Евгений Кателла, Егор Толстой Полезные ссылки: Неслучайный генератор случайных одноразовых кодов Тинькофф банка https://habr.com/ru/articles/462071/ OWASP Authentication Cheat Sheet (Про ошибки аутентификации и общие рекомендации) https://lnnk.in/htmx OWASP Multifactor Authentication Cheat Sheet (Факторы, плюсы, минусы, рекомендации, risk-based MFA) https://lnnk.in/hvmu NIST Digital Identity Guidelines / Authentication and Lifecycle Management (Про запрет использования секретных вопросов) https://lnnk.in/duq3 OWASP Password Storage Cheat Sheet (Про безопасное хранение паролей, bcrypt, work factor) https://lnnk.in/aNp7 OAuth 2.0 Authorization Code Grant Type - Fully Visualized (Article with Infographic) (Статья с инфографикой / sequence-диаграммой про OAuth) https://lnnk.in/aMqe OAuth Playground (Authorization Code with PKCE) (Интерактивная площадка для тестирования OAuth+PKCE) https://lnnk.in/aSpL OWASP Testing for OAuth Weaknesses (Руководство по тестированию уязвимостей OAuth) https://lnnk.in/aOp7 OWASP Authentication Testing (Руководство по тестированию аутентификации) https://lnnk.in/evl8 Open Policy Agent (Фреймворк политики безопасности) https://www.openpolicyagent.org/ Rego Sandbox for Open Policy Agent (Песочница для языка Rego) https://play.openpolicyagent.org/ FTC Data Breach Response Guide for Businesses (Гайд для бизнеса на случай утечки паролей) https://lnnk.in/aPpT Book: OAuth 2 in Action (Книга по OAuth2, возможна устаревшая с 2017) https://www.manning.com/books/oauth-2-in-action Book: Cryptography by Damir Sharifyanov (Книга по основам криптографии для новичков) https://lnnk.in/aQpU OWASP Testing Multi-Factor Authentication (Руководство по тестированию многофакторной аутентификации) https://lnnk.in/hxmj OWASP Testing for Bypassing Authorization Schema (Про тестирование обхода схем авторизации) https://lnnk.in/exl2 OWASP Testing for Cookies Attributes (Атрибуты Cookies: Secure, HTTP only, Path, Expires) https://lnnk.in/hzl9
  continue reading

416 эпизодов

Artwork
iconПоделиться
 
Manage episode 437882392 series 1393562
Контент предоставлен Podlodka Podcast, Егор Толстой, Стас Цыганов, Екатерина Петрова, and Евгений Кателла. Весь контент подкастов, включая эпизоды, графику и описания подкастов, загружается и предоставляется непосредственно компанией Podlodka Podcast, Егор Толстой, Стас Цыганов, Екатерина Петрова, and Евгений Кателла или ее партнером по платформе подкастов. Если вы считаете, что кто-то использует вашу работу, защищенную авторским правом, без вашего разрешения, вы можете выполнить процедуру, описанную здесь https://ru.player.fm/legal.
Сколько факторов аутентификации нужно использовать, чтобы учетные записи ваших пользователей были в безопасности? Зачем сбрасывать пароль каждые 30 дней? Есть ли методы аутентификации, которые, с одной стороны, достаточно безопасные, а с другой – удобные даже для вашей бабушки? Никита Хромушкин из Авито провел для нас максимально подробную лекцию про то, насколько проклято текущее состояние дел в аутентификации и какое светлое будущее нас ждет, когда человечество откажется от паролей! Партнёр эпизода – облачная платформа Yandex Cloud, которая проводит большую конференцию Yandex Scale для тех, кто создаёт цифровые решения. Генеративные нейросети, речевые технологии, сервисы для работы с данными и обеспечения безопасности, serverless‑подход – об этом и многом другом 25 сентября расскажут эксперты и партнёры облачной платформы. Участие бесплатное, приходите офлайн в МХАТ им. М. Горького или смотрите в онлайн-трансляции. Зарегистрироваться можно по ссылке: https://lnnk.in/aRpI Реклама. ООО "Яндекс.Облако", ИНН 7704458262, erid:2SDnjd7SVQN Также ждем вас, ваши лайки, репосты и комменты в мессенджерах и соцсетях! Telegram-чат: https://t.me/podlodka Telegram-канал: https://t.me/podlodkanews Страница в Facebook: www.facebook.com/podlodkacast/ Twitter-аккаунт: https://twitter.com/PodlodkaPodcast Ведущие в выпуске: Евгений Кателла, Егор Толстой Полезные ссылки: Неслучайный генератор случайных одноразовых кодов Тинькофф банка https://habr.com/ru/articles/462071/ OWASP Authentication Cheat Sheet (Про ошибки аутентификации и общие рекомендации) https://lnnk.in/htmx OWASP Multifactor Authentication Cheat Sheet (Факторы, плюсы, минусы, рекомендации, risk-based MFA) https://lnnk.in/hvmu NIST Digital Identity Guidelines / Authentication and Lifecycle Management (Про запрет использования секретных вопросов) https://lnnk.in/duq3 OWASP Password Storage Cheat Sheet (Про безопасное хранение паролей, bcrypt, work factor) https://lnnk.in/aNp7 OAuth 2.0 Authorization Code Grant Type - Fully Visualized (Article with Infographic) (Статья с инфографикой / sequence-диаграммой про OAuth) https://lnnk.in/aMqe OAuth Playground (Authorization Code with PKCE) (Интерактивная площадка для тестирования OAuth+PKCE) https://lnnk.in/aSpL OWASP Testing for OAuth Weaknesses (Руководство по тестированию уязвимостей OAuth) https://lnnk.in/aOp7 OWASP Authentication Testing (Руководство по тестированию аутентификации) https://lnnk.in/evl8 Open Policy Agent (Фреймворк политики безопасности) https://www.openpolicyagent.org/ Rego Sandbox for Open Policy Agent (Песочница для языка Rego) https://play.openpolicyagent.org/ FTC Data Breach Response Guide for Businesses (Гайд для бизнеса на случай утечки паролей) https://lnnk.in/aPpT Book: OAuth 2 in Action (Книга по OAuth2, возможна устаревшая с 2017) https://www.manning.com/books/oauth-2-in-action Book: Cryptography by Damir Sharifyanov (Книга по основам криптографии для новичков) https://lnnk.in/aQpU OWASP Testing Multi-Factor Authentication (Руководство по тестированию многофакторной аутентификации) https://lnnk.in/hxmj OWASP Testing for Bypassing Authorization Schema (Про тестирование обхода схем авторизации) https://lnnk.in/exl2 OWASP Testing for Cookies Attributes (Атрибуты Cookies: Secure, HTTP only, Path, Expires) https://lnnk.in/hzl9
  continue reading

416 эпизодов

Все серии

×
 
Loading …

Добро пожаловать в Player FM!

Player FM сканирует Интернет в поисках высококачественных подкастов, чтобы вы могли наслаждаться ими прямо сейчас. Это лучшее приложение для подкастов, которое работает на Android, iPhone и веб-странице. Зарегистрируйтесь, чтобы синхронизировать подписки на разных устройствах.

 

Краткое руководство