GitHub hat angekündigt, dass es bald die obligatorische Verwendung der Zwei-Faktor-Authentifizierung (2FA) auf Entwicklerkonten einführen wird.
Die Softwareentwicklungsplattform wird zunächst kleine Gruppen von Administratoren und Entwicklern per E-Mail über die Änderung ihrer Konten informieren, bevor ihre gesamte 100-Millionen-starke Benutzerbasis schließlich bis Ende des Jahres bei 2FA registriert sein wird.
„GitHub hat einen Rollout-Prozess entwickelt, der sowohl unerwartete Unterbrechungen und Produktivitätsverluste für Benutzer minimieren als auch Kontosperrungen verhindern soll“, sagten Staff Product Manager Hirsch Singhal und Product Marketing Director Laura Paine gemeinsam Blogeintrag (öffnet in neuem Tab) auf der Firmenseite.
Erhöhung der Sicherheit
„Gruppen von Benutzern werden gebeten, 2FA im Laufe der Zeit zu aktivieren, wobei jede Gruppe basierend auf den von ihnen durchgeführten Aktionen oder dem Code, zu dem sie beigetragen hat, ausgewählt wird.“
Sobald ein Benutzer die 2FA-E-Mail erhält, hat er 45 Tage Zeit, um sie in seinem Konto einzurichten.
Wenn Benutzer es nach diesem Zeitpunkt immer noch nicht aktiviert haben, werden sie für die volle Funktionalität ihres Kontos gesperrt, bis 2FA von ihnen konfiguriert wurde. Um Überraschungen zu vermeiden, hält GitHub die Benutzer jedoch auf dem Laufenden, wie lange sie noch haben.
GitHub hatte zuvor im Mai und Dezember 2022 angekündigt, dass 2FA bald kommen würde, und um seine Benutzer weiter vorzubereiten, hat es auch einen Leitfaden dazu veröffentlicht 2FA konfigurieren (öffnet in neuem Tab) und wie genesen (öffnet in neuem Tab) Ihr Konto, falls Sie Ihr 2FA-Gerät verlieren.
2FA ist eine Art Multi-Faktor-Authentifizierung, eine zusätzliche Sicherheitsebene, um sicherzustellen, dass tatsächlich Sie es sind, der mit Ihrem Benutzernamen und Passwort auf Ihr Konto zugreift. Ein Code wird an ein anderes Ihrer Geräte gesendet, normalerweise Ihr Smartphone, den Sie eingeben, nachdem Sie Ihre Anmeldedaten eingegeben haben, um Ihre Identität zu authentifizieren.
Bei den meisten Diensten, die 2FA verwenden, kann der Code per SMS oder einer Authentifizierungs-App übermittelt werden. Darüber hinaus wird GitHub 2FA auch über physische Sicherheitsschlüssel und seine eigenen mobilen GitHub-Apps für iOS und Android unterstützen.
GitHub empfiehlt Benutzern jedoch nicht, sich für SMS 2FA zu entscheiden, da dies weniger sicher ist als andere Formen, da Nachrichten abgefangen und die generierten Authentifizierungstoken gestohlen werden können.
Der Schritt zur Durchsetzung von 2FA folgt den jüngsten Bemühungen von GitHub, seinen Dienst sicherer zu machen. Die Authentifizierung von Git-Operationen über das Passwort eines Benutzerkontos war widerrufen (öffnet in neuem Tab) im Jahr 2019 stattdessen die Verwendung von Authentifizierungstoken wie SSH-Schlüsseln erfordern, was dann möglich wäre zusätzlich gesichert durch Sicherheitsschlüssel ab 2021 (öffnet in neuem Tab).