Ostatnia aktualizacja 18 sierpnia, 2022
GitHub chce, aby uwierzytelnianie dwuskładnikowe dotyczyło wszystkich programistów, czyli około 83 mln ludzi korzystających z platformy. Do tej pory jedynie niewiele ponad 16 proc. użytkowników używało 2FA. Dano im czas do końca 2023 roku.
Ostatnia aktualizacja: 18.08.2022. Dodaliśmy informację o rodzajach kluczy U2F.
„GitHub dokłada wszelkich starań, aby silne bezpieczeństwo kont nie odbywało się kosztem doskonałego doświadczenia programistów. Nasz cel do końca 2023 r. daje nam możliwość optymalizacji pod tym kątem. W miarę ewolucji standardów będziemy nadal aktywnie badać nowe sposoby bezpiecznego uwierzytelniania użytkowników, w tym uwierzytelnianie bez hasła. Deweloperzy na całym świecie mogą spodziewać się większej liczby opcji uwierzytelniania i odzyskiwania konta, a także ulepszeń, które pomagają zapobiegać włamaniu do konta i odzyskiwać go po nim” – napisał Mike Hanley, CEO GitHub, na blogu.
Zobacz: Klucz U2F – zwiększ bezpieczeństwo logowania
Czym jest GitHub?
GitHub jest serwisem hostingowym, który nastawiony jest na projekty programistyczne. Został uruchomiony w 2008 roku i bazuje na frameworku Open Source języka Erlang – Ruby on Rails.
Można na nim hostować programy typu Open Source, a także prywatne repozytoria.
Ciekawostką może być fakt, że w 2020 roku zarchiwizowano kod źródłowy (około 21 TB) serwisu na kliszy piqlFilm. Umieszczono ją w schronie w Arktyce.
Uwierzytelnianie dwuskładnikowe dla programistów na GitHub
GitHub ogłosił, że wszyscy programiści, którzy umieszczają różnego rodzaju kod na platformie, muszą do końca 2023 roku włączyć na swoich kontach uwierzytelnianie dwuskładnikowe (2FA).
Dotyczy to także aktywnych współtwórców, w tym osoby zatwierdzające kod, publikują pakiety i wykonują inne operacje związane z repozytoriami.
Uwierzytelnianie dwuskładnikowe (2FA) na GitHub może mieć różne formy. Jedną są fizyczne klucze bezpieczeństwa, wirtualne klucze bezpieczeństwa wbudowanych w urządzenia, takie jak telefony i laptopy. Mogą nimi być także aplikacje uwierzytelniające na podstawie hasła jednorazowego na podstawie czasu (TOTP).
GitHub zaleca zaprzestanie korzystania z opcji uwierzytelniania poprzez SMS, gdyż nie jest to już bezpieczna forma zabezpieczenia dostępu do kont. Hakerzy potrafią je skutecznie obejść.
„W GitHub wierzymy, że nasza wyjątkowa pozycja jako domu dla wszystkich programistów oznacza, że mamy zarówno możliwość, jak i obowiązek podniesienia poprzeczki bezpieczeństwa w całym ekosystemie programistycznym. Chociaż intensywnie inwestujemy w naszą platformę i szeroko pojętą branżę, aby poprawić ogólne bezpieczeństwo łańcucha dostaw oprogramowania, wartość tej inwestycji jest zasadniczo ograniczona, jeśli nie zajmiemy się ciągłym ryzykiem naruszenia bezpieczeństwa konta. Nasza odpowiedź na to wyzwanie trwa do dziś, dzięki naszemu zaangażowaniu w zwiększanie bezpieczeństwa łańcucha dostaw poprzez bezpieczne praktyki dla poszczególnych deweloperów” – napisał Hanley.
Sprawdź: Kod źródłowy – wyciek i jego niebezpieczeństwa
Klucze U2F
Wśród fizycznych kluczy do uwierzytelniania dwuskładnikowego mamy szeroki wybór. Jedną z popularniejszych marek jest Yubico. W swojej ofercie posiada różnorodną gamę kluczy zarówno dla zwykłych użytkowników, jak i biznesowych. Ponadto do wyboru mamy modele z czytnikiem biometrycznym lub bardzo małe, o gabarytach nanoodbiorników. W zależności od potrzeb znajdziemy klucze na gniazda USB-A, USB-C i Lightning.
Zakres cenowy kluczy tej marki to około 140-3400 zł. Od czego to zależy? Głownie od typów zabezpieczeń. Najbardziej zaawansowane klucze mogą być przydatne do użytku biznesowego, jednak standardowy użytkownik będzie całkowicie bezpieczny, korzystając ze znacznie tańszych wersji.
Uwierzytelnianie dwuskładnikowe za pomocą klucza U2F całkowicie eliminuje możliwość wykradzenia danych. Dane nie są przesyłane na zewnątrz, dlatego fizyczne klucze są znacznie lepszym rozwiązaniem niż SMS-y z kodami, które można łatwo przechwycić.
