От SHA-1 к PBKDF2: практический опыт двухэтапной миграции под требования PCI DSS

Требования регуляторов на простом русском

Java

Непрерывное развертывание и деплой

Другое

Поддержка и развитие legacy систем

Безопасность

Программный комитет ещё не принял решения по этому докладу

Целевая аудитория

Java-разработчики, архитекторы и инженеры, отвечающие за безопасность. Особенно полезно тем, кто внедряет compliance-требования (PCI DSS, ГОСТ) в существующие проекты.

Тезисы

PCI DSS требует использовать современные алгоритмы хэширования, но что делать, когда у вас 10 личных кабинетов на гибридной системе (от Spring до Wildfly), общая БД, и ни одного сервиса аутентификации?
Мы прошли путь от обнаружения уязвимости (SHA-1) до внедрения PBKDF2 с 600к итерациями - в полном соответствии с NIST SP 800-63B и OWASP.
В докладе разберем: как разделить миграцию на два этапа (чтение, запись), как обойти ограничения старых версий Spring, и как сократить время смены пароля с 26 до 2 секунд через комбинацию бизнес-решений (ограничение истории паролей) и технических оптимизаций. Вы получите историю об инкрементальном обновлении критичных компонентов под давлением аудиторов.

Резник Владислав

Paygine

Java-разработчик в команде продукта Method, финтех-компании Paygine. Эксперт в области backend-разработки enterprise-систем на Java/Spring с фокусом на оптимизацию баз данных, работу с legacy-кодом и внедрение практик безопасной разработки в соответствии со стандартами PCI DSS.
Экспертиза и достижения:
- 4+ года в enterprise-разработке (финтех, HCM-системы)
- СПбПУ Петра Великого, «Программная инженерия»
- Опыт работы с BaaS-платформами в финтехе