Featured image of post GitHub rollt zwei-Faktor-Authentifizierung auf Millionen von Benutzern aus
Enterprise Software Security Software

GitHub rollt zwei-Faktor-Authentifizierung auf Millionen von Benutzern aus

In den nächsten neun Monaten wird der größte Internet-Hosting-Service für Softwareentwicklung und Zusammenarbeit alle Code-Beitrager eine weitere Ebene von elektronischen Beweisen zu ihren Konten hinzufügen.

A mobile phone is sitting on a computer keyboard. On the screen is an image of the GitHub logo.

Bild: Prima91 GitHub, von der Mehrheit der großen Tech-Unternehmen verwendet, hat angekündigt dass es ausrollt 2FA. Das Unternehmen beginnt am Montag, 13. März, einen neunmonatigen Rollout. Alle Entwickler, die Code auf der Plattform beitragen, müssen schließlich das Sicherheitsprotokoll übernehmen, das Unternehmen angekündigt am Donnerstag.

SEE: Hiring Kit: Full Stack-Entwickler (TechRepublic Premium)

Der Microsoft-besitzte DevOps-Service sagte, die Bewegung passt sich an die Nationale Cybersicherheitsstrategie , die unter anderem die Onus und mehr Sicherheitsverantwortung auf Software-Anbieter legt.

Zu:

  • Ein Entwickler zu sein, macht Sie nicht verwundbar
  • Verschiedene 2FA-Auswahlen, aber Biometrie und Passkeys Trumpf SMS
  • Letzter Schritt folgt Kadenz von GitHub Sicherheitsprogrammen
  • Months-long Rollout, um Störungen zu minimieren, Protokolle zu optimieren
  • GitHub bietet Entwicklern 2FA Timeline
  • E-Mail-Flexibilität zum Aussperren zu vermeiden Ein Entwickler zu sein, macht Sie nicht verwundbar

Selbst Entwickler machen Fehler und kann Opfer von Sicherheitsverletzungen werden. Mike Hanley, Chief Security Officer und Senior Vice President of Engineering bei GitHub, schrieb in einem Mai 2022 Blog — die den 2FA-Plan zum ersten Mal erwähnt —, dass kompromittierte Konten verwendet werden können, um privaten Code zu stehlen oder schädliche Änderungen an diesem Code zu drücken.

Must-read-Entwicklerabdeckung

  • Hiring Kit: Python Entwickler

  • So finden und installieren Sie das neue Windows 11 22H2 Update

  • Lernen Sie mit zwei Jahren DevGuides Online Webinare für $39

  • AWS re:Invent 2022: Eine knüpfige Tour durch Technologie-Tools, Tenets und Trends

    „Dies stellt nicht nur die Individuen und Organisationen, die mit den gefährdeten Konten verbunden sind, sondern auch alle Nutzer des betroffenen Codes“, schrieb er. „Das Potenzial für stromabwärtige Auswirkungen auf das breitere Software-Ökosystem und die Lieferkette ist dadurch beträchtlich. „

Justin Cappos, Professor für Informatik an der NYU und Ko-Entwickler der in-to- und Uptane Software-Sicherheitsrahmen, sagte Githubs Annahme von 2FA ist ein entscheidender erster Schritt bei der Bewältigung eines großen Problems.

„Code in eine Organisation einspeisen ist eine der schlimmsten Arten von Angriffen, die jemand tun kann. So ist der Schutz der Art, wie Menschen an Code arbeiten, was heute oft bedeutet, über GitHub an Code zu arbeiten, wirklich entscheidend. In dem Maße, in dem sie es schwieriger machen, dass Angreifer dies tun, ist ein großer positiver“, sagte er.

SEE: Wie man Sicherheitsrisiken minimiert: Folgen Sie diesen Best Practices für Erfolg (TechRepublic Premium)

Verschiedene 2FA-Auswahlen, aber Biometrie und Passkeys Trumpf SMS

GitHub bietet auch eine bevorzugte 2FA-Option für Konto-Login mit einer Sudo-Prompt, so dass Benutzer zwischen zeitbasierten Einmal-Passwörtern, SMS, Sicherheitsschlüssel oder GitHub Mobile wählen. Das Unternehmen ist jedoch Benutzer aufrufen mit Sicherheitsschlüsseln zu gehen, einschließlich der physischen Sicherheitsschlüssel, wie Yubikey, und TOTPs, SMS-basierte 2FA ist weniger sicher .

NIST, was nicht mehr empfiehlt 2FA wies darauf hin, dass

  • Ein über SMS gesendetes Out-of-Band-Geheimnis kann von einem Angreifer empfangen werden, der den Mobilfunkbetreiber überzeugt hat, das Handy des Opfers an den Angreifer umzuleiten.
  • Eine böswillige App am Endpunkt kann ein über SMS gesendetes Out-of-Band-Geheimnis lesen und der Angreifer kann das Geheimnis zur Authentifizierung verwenden. „Die stärksten Methoden, die weit verbreitet sind, sind diejenigen, die den WebAuthn sicheren Authentifizierungsstandard unterstützen“, sagte GitHub in seiner Ankündigung. „Diese Methoden umfassen physische Sicherheitsschlüssel sowie persönliche Geräte, die Technologien wie Windows Hello oder Face ID/Touch ID unterstützen. „

Cappos sagte, die Bedeutung der Unterscheidung 2FA-Methoden kann nicht übertrieben werden. „Für 2FA sind nicht alle Dinge gleich. Yubikeys sind zum Beispiel der Goldstandard, weil Sie physisch den Schlüssel stehlen müssen, um etwas zu passieren zu verursachen“, sagte er.

SEE: 1Password sucht eine passwortfreie Zukunft. Hier ist, warum (TechRepublik)

GitHub sagte, es sei auch Prüfung Passkeys , das Anmeldeprotokoll der nächsten Generation, als Verteidigung gegen Exploits wie Phishing.

„Weil Passkeys noch eine neuere Authentifizierungsmethode sind, arbeiten wir daran, sie intern zu testen, bevor wir sie an Kunden ausrollen“, sagte ein Sprecher. „Wir glauben, dass sie eine einfache Bedienung mit einer starken und phishing-resistenten Authentifizierung kombinieren werden. „

Letzter Schritt folgt Kadenz von GitHub Sicherheitsprogrammen

In einem Schritt in Richtung Schließung Schlupflöcher zur Bekämpfung von Bedrohungsdarstellern erweitert GitHub seine geheimes Scannen Programm letzten Herbst, so dass Entwickler alle öffentlich zugänglichen Geheimnisse in ihrem öffentlichen GitHub-Repository verfolgen.

Und früher dieses Jahr, GitHub hat eine Setup-Option für das Code-Scannen gestartet aufgerufen “Standard-Setup”, die Benutzer automatisch das Code-Scannen aktivieren lässt.

„Unsere 2FA-Initiative ist Teil eines plattformweiten Aufwands, um die Softwareentwicklung durch die Verbesserung der Kontosicherheit zu sichern“, sagte das Unternehmen in einer Veröffentlichung.

Months-long Rollout, um Störungen zu minimieren, Protokolle zu optimieren

Der Prozess zur Verbreitung der neuen Protokolle soll die Störung der Nutzer minimieren, wobei Gruppen ausgewählt werden, die auf den von ihnen ergriffenen Aktionen oder dem von GitHub beigelegten Code basieren. (Abbildung A) .

Abbildung A

A flowchart illustration of the software supply chain and important security steps.

Bild: GitHub. Die Sicherung der Software-Versorgungskette beginnt mit Benutzerkonten. Das Unternehmen sagte, der langsame Rollout würde es GitHub auch erleichtern, Anpassungen nach Bedarf zu machen, bevor Skalierung auf größere und größere Gruppen im Laufe dieses Jahres.

Ein Sprecher für GitHub erklärte, dass, während das Unternehmen nicht bieten Spezifika, wie Benutzer für einen Teil von bestimmten Gruppen in der 2FA-Cadence qualifiziert, die Person sagte, Gruppen werden zum Teil aufgrund ihrer Auswirkungen auf die Sicherheit der breiteres Ökosystem . High-impact-Gruppen beinhalten Benutzer, die:

  • Veröffentlicht GitHub oder OAuth Apps, Aktionen oder Pakete .
  • Erstellt ein Release .
  • Code zu Repositorys, die von npm , OpenSSF , PyPI oder RubyGems .
  • Code zu einem der ungefähr vier Millionen öffentlichen und privaten Repositories.
  • Act als Unternehmens- und Organisationsadministratoren. Für diejenigen mit einem proaktiven Benefiz bietet das Unternehmen 2FA sofort auf einer engagierten Seite .

GitHub bietet Entwicklern 2FA Timeline

Der Prozess für GitHub-Beitrager setzt mehrere Zeitmarker für die Einleitung von 2FA um eine weiche Frist (Abbildung B) .

Abbildung B

A color-coded timeline from GitHub that details when different groups will be required to meet different 2FA deadlines.

Bild: GitHub. Timeline für 2FA für GitHub-Beiträge. ### Vor Ablauf der Frist

GitHub-Beitrager, die für eine anstehende 2FA-Gruppe ausgewählt wurden, erhalten eine Vorankündigung per E-Mail 45 Tage vor Ablauf der Frist, informieren sie über die Frist und bieten Hinweise, wie man 2FA aktivieren kann.

Nach Ablauf der Aktivierungsfrist

Die Benachrichtigten werden aufgefordert, 2FA zu aktivieren, sobald sie täglich auf GitHub.com zugreifen. Sie können diese Aufforderung einmal am Tag für bis zu einer Woche, aber danach werden sie nicht in der Lage sein, auf GitHub.com Features zugreifen, bis sie 2FA aktivieren.

28 Tage nach 2FA aktiviert

Benutzer erhalten eine 2FA “Check-up” unter Verwendung von GitHub.com, die bestätigt, dass ihr 2FA-Setup korrekt funktioniert. Früher angemeldete Benutzer werden in der Lage sein, 2FA zu rekonfigurieren, wenn sie während des Onboardings fehlerhafte oder falsch platzierte zweite Faktoren oder Recovery-Codes haben.

E-Mail-Flexibilität zum Aussperren zu vermeiden

Glücklicherweise lassen die neuen Protokolle Benutzer Unlink E-Mail von einem 2FA-fähigen GitHub-Konto, um zu vermeiden, dass das Paradox von aus dem Ganzen - E-Mail -, die es ihnen erlaubt, das Konto zu überprüfen, wenn sie nicht in der Lage sind, sich anzumelden oder zu erholen.

„Wenn Sie nicht in der Lage sind, einen SSH-Schlüssel, PAT oder ein Gerät zu finden, das zuvor in GitHub unterzeichnet wurde, um Ihr Konto wiederherzustellen, ist es einfach, mit einem neuen GitHub.com-Konto neu zu starten und halten Sie diesen Beitragsgraph richtig grün“, sagte das Unternehmen.

image

 ###  Cybersecurity Insider Newsletter

Stärken Sie die IT-Sicherheitsabwehr Ihrer Organisation, indem Sie die neuesten Cyber-Sicherheitsnachrichten, Lösungen und Best Practices beibehalten.

Geliefert Dienstags und Donnerstags Heute anmelden

© 2024 BilbyTech