GitHub macht die Zwei-Faktor-Authentifizierung obligatorisch

Um Hacker daran zu hindern, die Software-Lieferkette zu manipulieren, wird GitHub die Benutzer ab dem 13. März zwingen, die Zwei-Faktor-Authentifizierung (2FA) einzuführen.

Die Anforderung wird zunächst für kleine Benutzergruppen eingeführt, bevor GitHub die Anforderung im Laufe des Jahres auf mehr Personen skaliert. Ziel ist es, die 2FA-Anforderung bis Ende 2023 für alle Benutzer verbindlich zu machen.

„Wenn Ihr Konto für die Registrierung ausgewählt wird, werden Sie per E-Mail benachrichtigt und sehen ein Banner auf GitHub.com, in dem Sie aufgefordert werden, sich anzumelden“, schrieb das Unternehmen in a Blogeintrag(Öffnet in einem neuen Fenster) am Donnerstag. „Sie haben 45 Tage Zeit, um 2FA für Ihr Konto zu konfigurieren – vor diesem Datum ändert sich nichts an der Verwendung von GitHub, außer den Erinnerungen.“

GitHub 2FA-Eingabeaufforderung (Credit: GitHub)

GitHub kündigte die 2FA-Anforderung ursprünglich im vergangenen Jahr an und verwies auf die Bedrohung durch Hacker, die die Software-Lieferkette treffen. GitHub im Besitz von Microsoft ist vor allem als Code-Repository-Plattform bekannt, auf der Entwickler Open-Source-Softwareprojekte posten und zu ihnen beitragen und sie in ihre eigenen Produkte integrieren können.

GitHub hat seitdem über 100 Millionen Entwickler auf der ganzen Welt angezogen. Aber die Plattform ist ein reifes Ziel für Missbrauch. Ein Hacker könnte beispielsweise ein beliebtes Programmierprojekt auf GitHub manipulieren und dafür sorgen, dass Malware heimlich auf einen Computer geladen wird. Softwareentwickler könnten dann unbeabsichtigt die Verbreitung des Schadcodes verursachen, indem sie ihn in ihre eigenen Produkte einbauen.

Darüber hinaus könnte ein Hacker in das Konto eines GitHub-Entwicklers eindringen, um Code für proprietäre Software zu stehlen. „Entwicklerkonten sind häufige Ziele für Social Engineering und Kontoübernahmen, und der Schutz von Entwicklern vor dieser Art von Angriffen ist der erste und wichtigste Schritt zur Sicherung der Lieferkette“, Mike Hanley, Chief Security Officer von GitHub, schrieb(Öffnet in einem neuen Fenster) im Mai.

2FA (auch bekannt als Multi-Faktor-Authentifizierung) kann Hacker behindern, da es jeden, der sich bei einem Konto anmeldet, dazu zwingt, sowohl das richtige Passwort als auch einen einmaligen Passcode anzugeben, der auf dem Telefon des ursprünglichen Kontoinhabers generiert wurde. Dies kann es einem Angreifer erschweren, aber nicht unmöglich machen, einzudringen.

GitHub-Benutzer suchen nach 2FA aktivieren(Öffnet in einem neuen Fenster) vor dem 13. März können zu ihren Kontoeinstellungen gehen. Die Plattform bietet 2FA über eine Authentifizierungs-App, einen Sicherheitsschlüssel und per SMS, obwohl GitHub Benutzern dringend empfiehlt, die SMS-Option fallen zu lassen. Im Laufe der Jahre haben Hacker gezeigt, dass sie den über SMS generierten einmaligen Passcode stehlen können, indem sie SIM-Swapping-Angriffe auf die Telefonnummer des Opfers durchführen. Dies kann es einem Hacker ermöglichen, an das Gerät gesendete Telefonanrufe und SMS-Nachrichten abzufangen.

Dennoch hat GitHub beschlossen, die SMS-basierte 2FA als Option für Benutzer beizubehalten, die befürchten, von ihren Konten ausgeschlossen zu werden. Die Plattform fügte hinzu: „Sie können jetzt haben sowohl eine Authentifizierungs-App (TOTP) als auch eine SMS-Nummer(Öffnet in einem neuen Fenster) gleichzeitig in Ihrem Konto registriert. Obwohl wir die Verwendung von Sicherheitsschlüsseln und Ihrer TOTP-App über SMS empfehlen, hilft das gleichzeitige Zulassen von beiden, die Kontosperrung zu reduzieren, indem eine weitere zugängliche, verständliche 2FA-Option bereitgestellt wird, die Entwickler aktivieren können.“