GitHub unterstützt Sicherheitsschlüssel für Git-Operationen über SSH
Passwörter waren gestern, die Zukunft gehört den Sicherheitsschlüsseln: GitHub setzt für SSH-Zugriff auf eine sicherere Authentifizierung.
- Silke Hahn
GitHub unterstützt ab sofort zusätzlich die Authentifizierung mit Sicherheitsschlüssel für das Ausführen von Git-Operationen. Wer Git über SSH (Secure Shell) betreibt, kann die neu hinzugekommene Authentifizierungsoption nutzen. Außerdem können Nutzer weiterhin mittels Passwort oder personalisiertem Zugangs-Token (PAT) auf ihre Git-Repositories zugreifen.
Vorerst beschränkt auf den Git-Betrieb über SSH
Zurzeit ist der Zugang über Sicherheitsschlüssel noch auf den Betrieb via SSH beschränkt. Langfristig sollen die Security Keys herkömmliche Passwörter offenbar ganz ablösen, geht aus dem Blogpost von GitHub hervor. Während Passwörter als leicht kompromittierbar gelten, stellen Sicherheitsschlüssel beim Zugang über den Webbrowser eine Alternative dar, die unter anderem vor Phishing schützt. Nutzer, die auf einen Sicherheitsschlüssel wie beispielsweise YubiKey, Thetis Fido U2F oder Google Titan Security Keys setzen, können sich mittels USB, NFC oder Bluetooth verbinden.
Die Daten des Schlüssels sollen vor externem Zugriff und Modifizierung durch Unbefugte weitgehend geschützt sein. Wesentlich ist dabei, dass die Nutzer selbst ihren Zugriff auf den Security Key bewahren, der von niemandem außer der dafür autorisierten Person einsetzbar sein soll. Im Detail lassen sich SSH-Schlüssel beim Einsatz von Security Keys vor unabsichtlicher Offenlegung schützen und gegen Malware absichern. Der Sicherheitsschlüssel benötigt eine Aktion wie eine Geste, beispielsweise das Antippen durch seine Eigentümerin oder seinen Eigentümer, die ihm die Anwesenheit des rechtmäßigen Nutzers signalisiert (User Presence).
Ein Schlüssel für alle Anwendungen
Da Security Keys nicht auf eine einzelne Anwendung beschränkt sind, können ihre Inhaber denselben Schlüssel nutzen, um Web- und SSH-Authentifizierungen durchzuführen. Man muss also nicht mehrere verschiedene Schlüssel erwerben, und auch die Zweifaktor-Authentifizierung bei GitHub ist kein Muss, um das Git-Repository mit dem Schlüssel zu öffnen. GitHub empfiehlt allerdings all seinen Nutzern, sich zurzeit noch ein starkes Passwort zuzulegen und die Zweifaktor-Authentifizierung zu aktivieren. Ein interessanter Nebeneffekt von Security Keys dürfte sein, dass man sie auch zum Wiederherstellen seines Zugangs nutzen kann, sollte man das Passwort vergessen oder sich anderweitig von der Zweifaktor-Authentifizierung ausgeschlossen haben (das wäre zum Beispiel der Fall, wenn man das zur Authentifizierung eingesetzte Smartphone verliert).
Das Erstellen von Zugangs-Keys mit dem Sicherheitsschlüssel funktioniert ähnlich wie das Generieren eines regulären SSH-Key. Es ist möglich, einen Schlüssel mit einem Passwort zu sichern und zusätzlich einen Security Key als Anforderung festzulegen. Der private Schlüssel, der auf der lokalen Maschine gespeichert ist, lässt sich nur mit dem Sicherheitsschlüssel verwenden und ist somit für Angreifer wertlos. Der private SSH-Key ist eine Referenz zum externen Device, und die Daten verlassen den Sicherheitsschlüssel nicht.
Schrittweise Abschaffung von Passwörtern
GitHub bezweckt nach eigenen Angaben durch die schrittweise Einführung der personengebundenen Security Keys mehr Schutz gegen unabsichtliche Ausführungen oder Zugriff durch unbefugte Dritte. Außerdem sollen Nutzerinnen und Nutzer perspektivisch mit weniger Passwörtern auskommen können. Der Einsatz von Passwörtern soll wie zuvor bei der GitHub-API auch für Git-Operationen perspektivisch entfallen. Wer sich dafür interessiert, kann in der Dokumentation vertiefend nachlesen, wie sich die neuen Sicherheitsschlüssel erstellen und für GitHub einsetzen lassen. Weitere Informationen sind in dem Blogeintrag zur Einführung der neuen Authentifizierungsmethode zu finden.
(sih)