Um die Entwicklerkonten und den auf seiner Plattform gehosteten Code weiter zu sichern, hat GitHub angekündigt, dass sich seine Benutzer bis Ende nächsten Jahres für die Zwei-Faktor-Authentifizierung (2FA) anmelden müssen.
Genauer gesagt muss jeder, der Code auf der Microsoft-eigenen Plattform beisteuert, eine oder mehrere Formen von 2FA aktivieren.
Laut einem neuen Blog-Post von Mike Hanley, Chief Security Officer von GitHub, beginnt die Softwarelieferkette mit Entwicklern, und Entwicklerkonten werden häufig von Social Engineering und Kontoübernahmen angegriffen. Durch den Schutz von Entwicklern vor dieser Art von Angriffen unternimmt das Unternehmen den ersten und wichtigsten Schritt zur Sicherung der Softwarelieferkette.
Für die Zukunft plant GitHub, neue Wege zur sicheren Authentifizierung seiner Benutzer zu erkunden, einschließlich der passwortlosen Authentifizierung. Tatsächlich hat das Unternehmen erst letztes Jahr die Möglichkeit hinzugefügt, Sicherheitsschlüssel zur Authentifizierung zu verwenden, als Teil seiner Bemühungen, auf eine passwortlose Zukunft hinzuarbeiten.
Sicherung der Softwarelieferkette
Bereits im November letzten Jahres verpflichtete sich GitHub zu neuen Investitionen in die Sicherheit von npm-Konten nach Übernahmen von npm-Paketen, die das Ergebnis von Entwicklerkonten ohne aktivierte 2FA waren, die kompromittiert worden waren.
Obwohl Zero-Day-Schwachstellen online viel Aufmerksamkeit erregen, sind tatsächlich kostengünstigere Angriffe wie Social Engineering, Diebstahl von Anmeldeinformationen oder Datenlecks für die meisten Sicherheitsverletzungen verantwortlich.
Kompromittierte Konten auf GitHub können verwendet werden, um privaten Code zu stehlen oder sogar böswillige Änderungen an diesem Code vorzunehmen. Leider sind nicht nur Einzelpersonen und ihre Organisationen, die mit diesen kompromittierten Konten in Verbindung stehen, gefährdet, sondern auch alle Benutzer des betroffenen Codes.
Die beste Verteidigung gegen kompromittierte Benutzerkonten besteht darin, über die einfache passwortbasierte Authentifizierung hinauszugehen. Allerdings verwenden heute nur 16.5 Prozent aller aktiven GitHub-Benutzer und 6.44 Prozent der npm-Benutzer eine oder mehrere Formen von 2FA.
GitHub-Benutzer haben viel Zeit, sich auf diese Änderung vorzubereiten, und das Unternehmen hat kürzlich 2FA für GitHub Mobile auf iOS und Android eingeführt. Wenn Sie erfahren möchten, wie GitHub Mobile 2FA konfiguriert wird, können Sie sich dieses Support-Dokument ansehen, um loszulegen.