Sichere Software Supply Chain: GitHub schreibt Zwei-Faktor-Authentifizierung vor
GitHub verlangt nun von allen Nutzern der Plattform, dass sie bis Ende 2023 ihr Konto mit einer Form der Zwei-Faktor-Authentifizierung absichern.
(Bild: rvlsoft/Shutterstock.com)
- Frank-Michael Schlede
Der Code-Hoster GitHub arbeitet weiter daran, die Sicherheit der Konten auf der Plattform zu erhöhen. Schon in den vergangenen Monaten und Jahren hatte Mike Hanley, Chief Security Officer von GitHub, die Entwickler-Community immer wieder dazu aufgerufen, den Wechsel auf eine Zwei-Faktor-Authentifizierung durchzuführen und die traditionelle Anmeldeform mit einfachem Passwort zu meiden.
Der Weg zur Abschaffung des Passworts
Bereits im August 2021 hatte GitHub die Möglichkeit zum Authentifizieren mit einem einfachen Passwort für die Git Operations abgeschafft. Im Januar dieses Jahres unternahmen die GitHub-Verantwortlichen den nächsten Schritt, in dem sie die Zwei-Faktor-Authentifizierung für mobile Endgeräte mittels Mobile2FA ermöglichten.
Nun kündigte Hanley den nächsten Schritt auf dem Weg zur Abschaffung des einfachen Passworts auf dem GitHub Blog an: Bis zum Ende des Jahres 2023 will er alle Nutzerinnen und Nutzer, die ihren Code auf GitHub.com ablegen, dazu verpflichten, eine oder mehrere Formen der Zwei-Faktor-Authentifizierung für ihr Konto einzusetzen. Er begründete diesen Schritt unter anderem damit, dass insbesondere die zu schützende Software Supply Chain stets beim Entwickler startet.
(Bild: GitHub Blog)
Deshalb – so Hanley weiter – seien Entwickler-Accounts auch immer wieder und regelmäßig Angriffsziele für Social Engineering und Kontoübernahmen. GitHub will deshalb mit diesem Schritt den Schutz seiner Entwicklergemeinde und der Software-Lieferkette weiter ausbauen.
Es soll einfach bleiben für Entwickler
Schließlich hebt der Sicherheitschef von GitHub auch hervor, dass man sich sehr bemüht habe sicherzustellen, dass ein besserer Schutz nicht zulasten der Entwickler gehe. Das sei auch der Hauptgrund dafür, dass nun noch eine so lange Frist bis Ende 2023 für die Umstellung gewährt wird. In diesem Zusammenhang verweist Hanley auf eine Dokumentation, die zeigt, wie andere Unternehmen, die selbst eigene GitHub-Repositorys verwalten, intern den Einsatz von 2FA durch Einstellungen erzwingen: Nutzern bleibt dann keine Wahl mehr, wollen sie ihren Zugriff auf die Repos nicht verlieren.
GitHub sei zudem bestrebt, mit den sich entwickelnden Standards im Bereich Authentifizierung weiterhin Schritt zu halten. So werden künftig unter anderem Verbesserungen für die Sicherheit der sogenannten Maintainer npm-Konten eingeführt und zur Verfügung gestellt. Für die kommenden Monate verspricht Hanley zudem weitere Details zu veröffentlichen, die die kommenden weiteren Anforderungen für die Zwei-Faktor-Authentifizierung betreffen und bei GitHub realisiert werden sollen.
(fms)
