In een poging om de ontwikkelaarsaccounts en de code die op zijn platform wordt gehost verder te beveiligen, heeft GitHub aangekondigd dat zijn gebruikers zich eind volgend jaar moeten inschrijven voor tweefactorauthenticatie (2FA).
Meer specifiek zal iedereen die code bijdraagt op het platform van Microsoft een of meer vormen van 2FA moeten inschakelen.
Volgens een nieuwe blogpost Van GitHub's Chief Security Officer Mike Hanley begint de software-toeleveringsketen met ontwikkelaars en ontwikkelaarsaccounts zijn vaak het doelwit van social engineering en accountovername. Door ontwikkelaars tegen dit soort aanvallen te beschermen, zet het bedrijf de eerste en meest cruciale stap in de richting van het beveiligen van de softwaretoeleveringsketen.
In de toekomst is GitHub van plan nieuwe manieren te verkennen om zijn gebruikers veilig te authenticeren, inclusief wachtwoordloze authenticatie. Vorig jaar heeft het bedrijf zelfs de mogelijkheid toegevoegd om beveiligingssleutels te gebruiken voor authenticatie als onderdeel van zijn inspanningen om naar een toekomst zonder wachtwoord te evolueren.
Beveiliging van de softwaretoeleveringsketen
In november vorig jaar heeft GitHub zich gecommitteerd aan nieuwe investeringen in npm-accountbeveiliging na overnames van npm-pakketten die het resultaat waren van ontwikkelaarsaccounts zonder 2FA ingeschakeld die waren gecompromitteerd.
Hoewel zero-day-kwetsbaarheden online veel aandacht krijgen, zijn goedkopere aanvallen zoals social engineering, diefstal van inloggegevens of datalekken feitelijk verantwoordelijk voor de meeste inbreuken op de beveiliging.
Gecompromitteerde accounts op GitHub kunnen worden gebruikt om privécode te stelen of zelfs om kwaadaardige wijzigingen in die code door te voeren. Helaas lopen niet alleen individuen en hun organisaties die betrokken zijn bij deze gecompromitteerde accounts risico, maar ook alle gebruikers van de getroffen code.
De beste verdediging tegen gecompromitteerde gebruikersaccounts gaat verder dan de basisverificatie op basis van wachtwoorden. Tegenwoordig gebruikt echter slechts 16.5 procent van alle actieve GitHub-gebruikers en 6.44 procent van de npm-gebruikers een of meer vormen van 2FA.
GitHub-gebruikers hebben voldoende tijd om zich op deze verandering voor te bereiden en het bedrijf heeft onlangs 2FA gelanceerd voor GitHub mobiel op iOS en Android. Degenen die geïnteresseerd zijn in het configureren van GitHub Mobile 2FA kunnen dit ondersteuningsdocument raadplegen om aan de slag te gaan.