Hardveres tokenekkel erősít a GitHub

A GitHub tovább erősíti a hitelesítési eljárásait. A fejlesztők ezentúl hardveres, kétfaktoros azonosítást is használhatnak.
 

A GitHub már többször erősítette meg a hitelesítési mechanizmusait, aminek köszönhetően jelenleg a hagyományos, sok sebből vérző jelszavas azonosítás mellett különféle többfaktoros megoldások is elérhetők. Így például lehetőség van SMS-alapú vagy szoftveres tokenekre épülő hitelesítésre is. Ez utóbbi esetben egyebek mellett a Google Authenticator használható. A népszerű webes szolgáltatás üzemeltetői azonban ennyivel nem elégedtek meg, és a Yubico fejlesztőivel szoros együttműködésben kifejlesztették azt a technikát, amivel hardveres tokenek is bevethetővé váltak.

Az új authentikációs alrendszer az U2F (FIDO Universal 2nd Factor) szabvánnyal kompatibilis, így minden olyan hardveres tokennel használható, ami támogatja U2F-et. Ennek segítségével a szoftveres tokenek által jelentett gyenge pontok kiküszöbölhetővé válhatnak, miközben a közbeékelődéses és az adathalász támadások kockázata is csökkenthető. Emellett azon trójai programok méregfoga is kihúzhatóvá válhat, amelyek a mobil eszközökön az egyszer használatos kódokat tartalmazó SMS-eket lopkodják.

Az új eljárás használata semmiféle bonyodalmat nem fog okozni a GitHub regisztrált tagjai számára, hiszen nincs más teendőjük, mint csatlakoztatni egy megfelelő YubiKey tokent a számítógéphez, és beállítani a kulcsokat. Semmiféle driver vagy egyéb szoftveres kiegészítő telepítésére nincs szükség.

A GitHub tájékoztatója szerint a regisztrált fejlesztők kedvezményesen juthatnak hozzá YubiKeyhez. Az első ötezer rendelés esetén 18 helyett 5 dollár az ár. Ezt követően pedig 20 százalék lesz a kedvezmény. Emellett várhatóan a diákok további engedményekben fognak részesülni. 

"Ahogy az adatbiztonsági incidensek is mutatják, a jelszavak nem elégségesek ahhoz, hogy a fiókokat és az adatokat biztonságban tudhassuk. Az U2F bevezetésével az a célunk, hogy a fejlesztők és a vállalatok elmozdulhassanak egy nagyobb fokú biztonság felé" - nyilatkozta Stina Enhrensvard, a Yubico elnök-vezérigazgatója.

Természetesen, ha valaki nem kíván élni a hardveres authentikáció adta lehetőségekkel, akkor továbbra is használhatja az eddigi hitelesítési eljárásokat.