GitHub ruft zur passwortfreien Authentifizierung auf
Nach dem Abschaffen des Zugangs mit einfachem Passwort rät der Code-Repository-Hoster aus Sicherheitsgründen zum Umstieg auf die Zwei-Faktor-Authentifizierung.
(Bild: rvlsoft/Shutterstock.com)
- Silke Hahn
Seit dem 13. August 2021 ist bei GitHub das Authentifizieren für die Git Operations nicht mehr mit einfachem Passwort möglich. Mike Hanley, Chief Security Officer des Unternehmens, hat nun die Zögerlichen unter den Nutzern der Plattform für Versionsverwaltung aufgerufen, für ihre Konten die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren. Hintergrund sind unter anderem die zunehmenden Hackerangriffe auf Nutzerkonten und kompromittierte beziehungsweise gestohlene Zugangsdaten.
Schutz vor Angriffen durch Mehrfaktor-Authentifizierung
Hanley zufolge schützt die Mehrfaktor-Authentifizierung gegen zahlreiche Angriffe wie insbesondere das Phishing. Wer 2FA künftig nutzen will, kann aus mehreren Optionen wählen: So gibt es physische Sicherheitsschlüssel, in Geräte wie Smartphones und Laptops eingebaute virtuelle Security Keys, aber auch Authentifizierungs-Programme zum Erzeugen befristet gültiger Einmalpasswörter (Time-based One-Time Password, kurz: TOTP). Laut Alex Weinert, dem Leiter des Bereichs Identity Security bei Microsoft, sinkt die Wahrscheinlichkeit einer Konten-Kompromittierung bei der Mehrfaktor-Authentifizierung um 99,9 Prozent.
Basishygiene gegen Bot-Angriffe
Die Zwei-Faktor-Authentifizierung ist grundsätzlich auch per SMS möglich, allerdings spricht GitHub sich dafür aus, nach Möglichkeit auf Security Keys oder Einmalpasswörter zu setzen. Es gibt allerdings auch auf dem Niveau der "Basishygiene" die Möglichkeit, die Sicherheit zusätzlich zu erhöhen: So soll laut Sicherheitsforschern von Google unter anderem das Hinzufügen einer Telefonnummer zur Kontenwiederherstellung automatische Bots und Massen-Phishing-Angriffe fast vollständig abwehren und auch zielgerichtete Angriffe stark reduzieren (laut Google um etwa 66 Prozent). Nutzer, die Security Keys einsetzen, fallen laut dem Blogeintrag der Forscher zielgerichteten Phishing-Attacken nicht mehr zum Opfer.
Absicherung der Nutzerkonten bei GitHub
Der Shutdown der Passwort-Authentifizierung im Bereich Git Operations von vergangener Woche war Teil eines langfristigen Plans zur Umstellung auf sicherere Authentifizierungswege mittels SSH Key oder Token. GitHub verlangt seit November 2020 eine mehrstufige Authentifizierung bei der REST API. Seit Mai 2021 unterstützt GitHub YubiKeys und die FIDO2-Sicherheitsschlüssel für SSH, um den Zugriff auf die eigenen Bereiche und Beiträge auf der Plattform abzusichern.
Wie sich die Zwei-Faktor-Authentifizierung konfigurieren lässt, erklärt GitHub in einem eigenen Abschnitt der Plattform-Dokumentation. Wie sich Security Keys als SSH-Schlüssel und zur Verifikation von Git-Commits einsetzen lassen, zeigt eine Videoanleitung von GitHub.
(sih)