Один из самых интересных подкастов, которые я слушал за последнее время. Включил его на фон изначально, но теперь как разработчику очень захотелось переслушать его более вдумчиво. Огромный респект гостю и ведущим за интересный вечер)

Один из лучших подкастов про технологии идентификации, аутентификации и авторизации🫶

Классная тема, отличный гость, было очень кайфово послушать. Спасибо

25:52 Bratan-based authentication есть, например, в WeChat при авторизации на новом устройстве в отсутствии старого (например, потеряли телефон). Тогда помимо того, что нужно указать код из смс, для авторизации нужно, чтобы тебе отправили определенный код как минимум 2 контакта, с кем ты недавно общался.

потрясающий выпуск! спасибо вам большое!!! касательно темы пропуска пушей, когда не успел прочесть пуш или пропустил - с android 11+ есть notification history. про apple дополните, кто знает

Жду продолжение. Тема безопасности очень обширная. Можно добавить более расширено поговорить о конкретных реализаций. Плюсы, минусы и область применения.

По поводу ory kratos, то её можно в self hosted, и выглядит вроде круто, есть ещё authelia, authentik.

Один из немногих выпусков, где при прослушивании, даже не видя лица, я ржал с шуток. Потом просмотрел пару моментов и еще раз посмеялся с того, с какими усилиями сдерживались ведущие

На счет сброса паролей - если пароль злоумышленник подбирается перебором , то обновляя пароль быстрее чем этот перебор завершится , ты фактически сводишь к нулю шанс взломать тебя таким способом. Далее , даже если пароль украли . бывает нужно еще время что бы им воспользоваться , не всегда сразу злоумышленник понимает что пароль подошел (например троян скидывает отчеты раз в неделю) , не всегда злоумышленник сразу пытается сменить его на свой , допустим уходит на это несколько дней - неделя , и опа , ты даже не зная что тебя уже взломали просто его меняешь и снова у злоумышленника облом. В общем . чем чаще меняешь , тем меньше шансов попасть.

отличный выпуск, спасибо!

Как-то мало раскрыта тема того, что если ты поехал в отпуск и, например, твой номер ограбили, пока ты спал (было такое) или вот СБ всё отобрала, то ты вообще остался без техники и всего своего цифрового багажа. Весь выпуск ждал, что к этому вернутся.

Более дешевая (как я думаю) альтернатива SMS есть: введите последние цифры номера, с которого сейчас поступит звонок

1:24:06 А yubikey со встроенным в него сканером отпечатка пальца ? Чтобы зашить в него ключ отпечатка, сканировать его перед изготовлением. Тогда утеря yubikey не проблема.

У нас в Kaspi банке webauthn уже более 5 лет как есть, после регистрации можешь входить и делать транзакции по отпечатку, faceid, пин коду или смс

Интересно, что мешает боту записать движение мыши пользователя и воспроизводить её с некоторыми случайностями

А вот если человек впервые регистрируется как тогда JWT токен получить или как то по-другому делать, если вопрос тупой то простите я не бэкендер)

Авторизация от Автора есть идет 😉

Меня бесит, что нет приложений на ПК для пуш уведомлений. я владею своим ноутбуком/ПК, я хочу получать код на это устройство, но ни гугл ни майкрософт не додумаются сделать для него приложение, вот где безобразие творится. Телефон у меня могут просто из рук украсть, с ноутбуком это гораздо тяжелее, ну и дополнительно, есть сервисы, в которые я захожу только с ноутбука, при этом телефон я могу дома забыть, почему я должен страдать!? В общем по возможности всегда использую только пароли, лишь потому что я не хочу использовать приложения аутенфикации на телефоне

1:14:20 Госуслуги сейчас тоже довольно активно свою централизованную аутентификацию продвигают.

Сложные щи - это хорошо

Так в Авито, потому что люди берут новые телефонные номера, чисто для продажи или покупки чего либо. А основной номер остаётся.

Не знаю насчет паролей чегото мало рассказали.. У меня пароли лежат в password manager типо keypass с локальным файликом на компе, генерим ключ с длиной 20символов (30 если сильно параноим), и забываем его навсегда, доступ к паролям через ubikey подобное устройство. Прикручиваем плагин в браузер и все. Везде разные пароли. При утере юбикея ничего не теряешь (просто держи дубликат где нить). Хотя например тот же oauth, totp, webauth тоже вполне вариант которыми я пользуюсь.

Образец днк самое простое, что можно украсть, кроме конечно великага и магучага , за которым чемодан для этого носят.

Почему юбикей спасает от социальной инженерии? Если нет Кевин устроится ко мне на работу, закоркшится со мной и в один момент скажет, что надо одобрить платёжку. Пальчиком к юбикей прикоснусь, ведь мы в хороших отношениях с Кевином

У меня до сих пор такое поведение у Skype

Все у нас через опу

+