Как работают авторизация и аутентификация | OAuth, JWT, webauthn, RBAC, ABAC | Podlodka Podcast скачать в хорошем качестве

Как работают авторизация и аутентификация | OAuth, JWT, webauthn, RBAC, ABAC | Podlodka Podcast

Сколько факторов аутентификации нужно использовать, чтобы учетные записи ваших пользователей были в безопасности? Зачем сбрасывать пароль каждые 30 дней? Есть ли методы аутентификации, которые, с одной стороны, достаточно безопасные, а с другой – удобные даже для вашей бабушки? Никита Хромушкин из Авито провел для нас максимально подробную лекцию про то, насколько проклято текущее состояние дел в аутентификации и какое светлое будущее нас ждет, когда человечество откажется от паролей! Партнёр эпизода – облачная платформа Yandex Cloud, которая проводит большую конференцию Yandex Scale для тех, кто создаёт цифровые решения. Генеративные нейросети, речевые технологии, сервисы для работы с данными и обеспечения безопасности, serverless‑подход – об этом и многом другом 25 сентября расскажут эксперты и партнёры облачной платформы. Участие бесплатное, приходите офлайн в МХАТ им. М. Горького или смотрите в онлайн-трансляции. Зарегистрироваться можно по ссылке. Реклама. ООО "Яндекс.Облако", ИНН 7704458262, erid:2SDnjd7SVQN ❓ Хочешь обсудить выпуск или задать вопрос эксперту? Вступай в наш Telegram-чат: https://t.me/podlodka 📰 Не любишь чаты, но хочешь оставаться в курсе дел и прокачивать свой IT кругозор? Подписывайся на наш Telegram-канал: там публикуются анонсы новых выпусков, а в комментах идут ценные и горячие обсуждения! 5 тысяч опытных IT-специалистов уже с нами: https://t.me/podlodkanews Полезные ссылки: Телеграм-канал Никиты https://t.me/product_developer Неслучайный генератор случайных одноразовых кодов Тинькофф банка https://habr.com/ru/articles/462071/ OWASP Authentication Cheat Sheet (Про ошибки аутентификации и общие рекомендации) https://cheatsheetseries.owasp.org/ch... OWASP Multifactor Authentication Cheat Sheet (Факторы, плюсы, минусы, рекомендации, risk-based MFA) https://cheatsheetseries.owasp.org/ch... NIST Digital Identity Guidelines / Authentication and Lifecycle Management (Про запрет использования секретных вопросов) https://pages.nist.gov/800-63-3/sp800... OWASP Password Storage Cheat Sheet (Про безопасное хранение паролей, bcrypt, work factor) https://cheatsheetseries.owasp.org/ch... OAuth 2.0 Authorization Code Grant Type - Fully Visualized (Article with Infographic) (Статья с инфографикой / sequence-диаграммой про OAuth)   / oauth-2-0-authorization-code-grant-type-fu...   OAuth Playground (Authorization Code with PKCE) (Интерактивная площадка для тестирования OAuth+PKCE) https://www.oauth.com/playground/auth... OWASP Testing for OAuth Weaknesses (Руководство по тестированию уязвимостей OAuth) https://owasp.org/www-project-web-sec... OWASP Authentication Testing (Руководство по тестированию аутентификации) https://owasp.org/www-project-web-sec... Open Policy Agent (Фреймворк политики безопасности) https://www.openpolicyagent.org/ Rego Sandbox for Open Policy Agent (Песочница для языка Rego) https://play.openpolicyagent.org/ FTC Data Breach Response Guide for Businesses (Гайд для бизнеса на случай утечки паролей) https://www.ftc.gov/business-guidance... Book: OAuth 2 in Action (Книга по OAuth2, возможна устаревшая с 2017) https://www.manning.com/books/oauth-2... Book: Cryptography by Damir Sharifyanov (Книга по основам криптографии для новичков) https://www.litres.ru/book/damir-shar... OWASP Testing Multi-Factor Authentication (Руководство по тестированию многофакторной аутентификации) https://owasp.org/www-project-web-sec... OWASP Testing for Bypassing Authorization Schema (Про тестирование обхода схем авторизации) https://owasp.org/www-project-web-sec... Тайм-коды: 00:00 О чем выпуск 06:58 Чем отличаются вторизация, аутентификация, идентификация 14:01 Обзор факторов аутентификации 20:36 Биометрия 26:06 Пароли и их подводные камни 34:07 Проблемы с SMS 01:09:22 Пуши и QR-коды 01:15:46 One Time Passwords 01:25:00 Будущее аутентификации 01:34:13 SessionId vs JWT 01:45:55 OAuth и другие протоколы 01:59:30 Как реализовать авторизацию в новом продукте 02:12:25 Что делать, если база данных утекает 02:16:35 Заключение