Du hast das gehört Rat seit Jahren: Aktivieren Sie die Zwei-Faktor-Authentifizierung überall dort, wo sie angeboten wird. Es ist seit langem klar, dass es nicht ausreicht, nur einen Benutzernamen und ein Passwort zur Sicherung digitaler Konten zu verwenden. Durch die Hinzufügung eines zusätzlichen Authentifizierungs-„Faktors“ – wie eines zufällig generierten Codes oder eines physischen Tokens – ist es jedoch viel schwieriger, die Schlüssel zu Ihrem Königreich zu erraten oder zu stehlen. Und sowohl für Einzelpersonen als auch für Institutionen, die ihre wertvollen und sensiblen Netzwerke und Daten vor gezielten Hackerangriffen oder opportunistischen Kriminellen schützen möchten, steht viel auf dem Spiel.
Doch trotz aller Vorteile bedarf es oft etwas harter Liebe, um Menschen dazu zu bringen, die Zwei-Faktor-Authentifizierung, oft auch als 2FA bekannt, tatsächlich zu aktivieren. Auf der Black Hat-Sicherheitskonferenz gestern in Las Vegas präsentierte John Swanson, Direktor für Sicherheitsstrategie bei GitHub, Ergebnisse aus den zweijährigen Bemühungen der dominierenden Softwareentwicklungsplattform, verbindliche Zwei-Faktoren für alle Konten zu erforschen, zu planen und dann mit der Einführung zu beginnen . Und die Bemühungen werden immer dringlicher, da sich Angriffe auf die Software-Lieferkette häufen und die Bedrohungen für das Ökosystem der Softwareentwicklung zunehmen.
„Es wird viel über Exploits, Zero Days und Build-Pipeline-Kompromisse in Bezug auf die Software-Lieferkette geredet, aber am Ende des Tages besteht der einfachste Weg, die Software-Lieferkette zu kompromittieren, darin, einen einzelnen Entwickler oder Ingenieur zu kompromittieren.“ Swanson erzählte WIRED vor seinem Konferenzvortrag. „Wir glauben, dass 2FA eine wirklich wirkungsvolle Möglichkeit ist, dies zu verhindern.“
Unternehmen wie Apple und Google haben konzertierte Anstrengungen unternommen, um ihre riesige Nutzerbasis in Richtung 2FA zu bewegen, aber Swanson weist darauf hin, dass Unternehmen mit einem Hardware-Ökosystem wie Telefonen und Computern zusätzlich zu Software mehr Möglichkeiten haben, den Kunden den Übergang zu erleichtern. Webplattformen wie GitHub müssen maßgeschneiderte Strategien verwenden, um sicherzustellen, dass die Zwei-Faktor-Methode für Benutzer auf der ganzen Welt, die alle über unterschiedliche Umstände und Ressourcen verfügen, nicht zu belastend ist.
Beispielsweise ist der Empfang zufällig generierter Codes für Zwei-Faktor-Textnachrichten per SMS weniger sicher als die Generierung dieser Codes in einer speziellen mobilen App, da Angreifer über Methoden verfügen, um die Telefonnummern der Ziele zu kompromittieren und deren Textnachrichten abzufangen. Vor allem aus Kostengründen haben Unternehmen wie X, früher bekannt als Twitter, ihre SMS-Zwei-Faktor-Angebote eingeschränkt. Aber Swanson sagt, dass er und seine GitHub-Kollegen die Wahl sorgfältig studiert hätten und zu dem Schluss gekommen seien, dass es wichtiger sei, mehrere Zwei-Faktor-Optionen anzubieten, als eine harte Linie bei der Zustellung von SMS-Codes zu vertreten. Jeder zweite Faktor ist besser als nichts. GitHub bietet auch Alternativen wie die Verwendung einer Code-generierenden Authentifizierungs-App, einer mobilen Push-Nachrichten-basierten Authentifizierung oder eines Hardware-Authentifizierungstokens an und fördert diese stärker. Das Unternehmen hat kürzlich auch hinzugefügt Unterstützung für Passkeys.
Das Fazit ist, dass auf die eine oder andere Weise alle 100 Millionen GitHub-Benutzer 2FA aktivieren werden, wenn sie es nicht bereits getan haben. Bevor Swanson mit der Einführung begann, verbrachten Swanson und sein Team viel Zeit damit, die Zwei-Faktor-Benutzererfahrung zu untersuchen. Sie haben den Onboarding-Ablauf überarbeitet, um es Benutzern zu erschweren, ihre Zwei-Faktor-Funktion falsch zu konfigurieren, eine der Hauptursachen dafür, dass Kunden von ihren Konten ausgeschlossen werden. Der Prozess umfasste einen stärkeren Schwerpunkt auf Dingen wie dem Herunterladen von Backup-Wiederherstellungscodes, damit Benutzer ein Sicherheitsnetz haben, um auf ihre Konten zuzugreifen, wenn sie den Zugriff verlieren. Das Unternehmen prüfte außerdem seine Supportkapazitäten, um sicherzustellen, dass Fragen und Anliegen reibungslos bearbeitet werden können.