Software-Sicherheit beginnt beim Entwickler: Absicherung von Entwicklerkonten mit 2FA

Konten mit 2fa

Von Mike Hanley

GitHub wird von allen Nutzern, die Code auf GitHub.com beitragen, verlangen, bis Ende 2023 eine oder mehrere Formen der Zwei-Faktor-Authentifizierung (2FA) zu aktivieren.

Die Software-Lieferkette beginnt bei den Entwicklern. Entwicklerkonten sind häufige Ziele für Social Engineering und Kontoübernahmen, und der Schutz von Entwicklern vor solchen Angriffen ist der erste und wichtigste Schritt zur Sicherung der Lieferkette. GitHub kann auf eine lange Tradition beim Schutz von Entwicklern zurückblicken, u. a. durch das Aufspüren und Ungültigmachen bekannter kompromittierter Benutzerpasswörter, durch die Unterstützung von robusten WebAuthn-Sicherheitsschlüsseln und durch die Anmeldung aller npm-Publisher bei der erweiterten Anmeldeüberprüfung. Heute kündigen wir im Rahmen einer plattformweiten Anstrengung zur Sicherung des Software-Ökosystems durch Verbesserung der Kontosicherheit an, dass GitHub von allen Nutzern, die Code auf GitHub.com beitragen, verlangen wird, bis Ende 2023 eine oder mehrere Formen der Zwei-Faktor-Authentifizierung (2FA) zu aktivieren.

GitHub wird von allen Nutzern, die Code auf GitHub.com beitragen, verlangen, bis Ende 2023 eine oder mehrere Formen der Zwei-Faktor-Authentifizierung (2FA) zu aktivieren.

GitHub ist bestrebt, sicherzustellen, dass die Sicherheit von Konten nicht auf Kosten einer großartigen Erfahrung für Entwickler geht, und unser Ziel für Ende 2023 gibt uns die Möglichkeit, dies zu optimieren. Da sich die Standards weiterentwickeln, werden wir weiterhin aktiv neue Möglichkeiten zur sicheren Authentifizierung von Nutzern erforschen, einschließlich der passwortlosen Authentifizierung. Entwickler auf der ganzen Welt können mehr Optionen für die Authentifizierung und die Wiederherstellung von Konten erwarten, zusammen mit Verbesserungen, die helfen, die Kompromittierung von Konten zu verhindern und wiederherzustellen.

Warum Kontosicherheit und 2FA wichtig sind

Im November 2021 verpflichtete sich GitHub zu neuen Investitionen in die Sicherheit von npm-Konten, nachdem npm-Paketübernahmen durch die Kompromittierung von Entwicklerkonten ohne aktivierte 2FA erfolgt waren. Wir führen weiterhin Verbesserungen für die npm-Kontosicherheit ein und setzen uns gleichermaßen für die Sicherheit der Konten von Entwicklern ein, die GitHub nutzen.

Die meisten Sicherheitsverletzungen sind nicht das Ergebnis exotischer Zero-Day-Angriffe, sondern gehen auf kostengünstigere Angriffe wie Social Engineering, Diebstahl von Anmeldeinformationen und andere Möglichkeiten zurück, die Angreifern eine breite Palette von Zugriffsmöglichkeiten auf die Konten der Opfer und die Ressourcen, auf die sie Zugriff haben, bieten. Kompromittierte Konten können dazu verwendet werden, privaten Code zu stehlen oder bösartige Änderungen an diesem Code vorzunehmen. Dies gefährdet nicht nur die Personen und Organisationen, die mit den kompromittierten Konten verbunden sind, sondern auch alle Benutzer des betroffenen Codes. Das Potenzial für nachgelagerte Auswirkungen auf das breitere Software-Ökosystem und die Lieferkette ist daher beträchtlich.

sec blog img

Der beste Schutz dagegen ist die Abkehr von der grundlegenden passwortbasierten Authentifizierung. Wir haben bereits Schritte in diese Richtung unternommen, indem wir die Basisauthentifizierung für Git-Vorgänge und unsere API abgeschafft haben und zusätzlich zu Benutzername und Passwort eine E-Mail-basierte Geräteverifizierung verlangen. 2FA ist eine leistungsstarke nächste Verteidigungslinie, doch trotz des nachgewiesenen Erfolgs ist die Akzeptanz von 2FA im gesamten Software-Ökosystem nach wie vor gering. Heute verwenden nur etwa 16,5 % der aktiven GitHub-Nutzer und 6,44 % der npm-Nutzer eine oder mehrere Formen von 2FA.

Wir bei GitHub glauben, dass unsere einzigartige Position als Heimat für alle Entwickler bedeutet, dass wir sowohl die Möglichkeit als auch die Verantwortung haben, die Messlatte für die Sicherheit im gesamten Ökosystem der Softwareentwicklung höher zu legen. Während wir auf unserer Plattform und in der gesamten Branche intensiv in die Verbesserung der allgemeinen Sicherheit der Software-Lieferkette investieren, ist der Wert dieser Investitionen grundsätzlich begrenzt, wenn wir uns nicht mit dem ständigen Risiko der Kompromittierung von Accounts befassen. Unsere Antwort auf diese Herausforderung ist unser Engagement, die Sicherheit der Lieferkette durch sichere Praktiken für die einzelnen Entwickler zu verbessern.

Beginnen Sie heute

Einzelne Benutzer

Möchten Sie einen Vorsprung haben? Wir haben kürzlich 2FA für GitHub Mobile auf iOS und Android eingeführt! Klicken Sie hier, um zu erfahren, wie Sie GitHub Mobile 2FA noch heute konfigurieren können. Um Mobile 2FA zu konfigurieren, müssen Sie mindestens eine andere Form von 2FA aktiviert haben. Erweitern Sie das Dropdown-Menü unten, um mehr zu erfahren.

Suchen Sie nach einer phishing-resistenten WebAuthn-Sicherheitsschlüsselerfahrung oder anderen Optionen?

 

Sie können hier beginnen. Um die Akzeptanz von Sicherheitsschlüsseln zu unterstützen, haben wir Sicherheitsschlüssel wie YubiKey an kritische Open-Source-Projektbetreuer verteilt und Sicherheitsschlüssel im GitHub Shop gelagert. SoloKeys oder Titan Security Keys sind ebenfalls eine gute Wahl.

Weitere Dokumentation zu GitHub.com 2FA ist hier verfügbar. Um 2FA für npm-Konten zu konfigurieren, sehen Sie sich dies an.

Vergessen Sie nicht, Ihre Wiederherstellungscodes zu speichern und eine oder mehrere Methoden zur Kontowiederherstellung zu konfigurieren!

Organisationen und Unternehmen

Besitzer von GitHub.com-Organisationen und -Unternehmen können auch 2FA für Mitglieder ihrer Organisationen und Unternehmen verlangen. Beachten Sie, dass Mitglieder und Eigentümer von Organisationen und Unternehmen, die keine 2FA verwenden, aus der Organisation oder dem Unternehmen entfernt werden, wenn diese Einstellungen aktiviert sind.