Szigorítani fog a GitHub

​A GitHub tájékoztatást adott arról, hogy meddig engedélyezi a kétfaktoros hitelesítés nélküli bejelentkezéseket.
 

Szinte minden nagyobb online szolgáltatást nyújtó cég, szervezet lehetőséged ad többfaktoros hitelesítés használatára, amely Alex Weinert, a Microsoft egyik biztonsági igazgatója szerint 99,9 százalékkal csökkenti a felhasználói fiókok kompromittálásának valószínűségét. Így nem csoda, hogy mindegyik vállalat erősen ajánlja a megerősített hitelesítés engedélyezését, de viszonylag ritkán fordul elő, hogy ezt kötelezővé is teszik, különösen a szélesebb körben használt szolgáltatások esetén. Erre a lépésre eddig egyebek mellett a GitHub sem szánta rá magát, de a legutóbbi bejelentése szerint a türelem már fogytán van.
 
Mindez a gyakorlatban annyit jelent, hogy 2023-től az aktív közreműködők már csak kétfaktoros hitelesítéssel használhatják a GitHubot. Ugyanakkor az MFA-kötelezettség nem fog azokra vonatkozni, akik kevésbé kockázatos műveleteket végeznek. A cél elsősorban az, hogy sikerüljön meggátolni a supply chain (ellátási lánc) típusú károkozásokat.
 
Nyilván a GitHub szigorításokra vonatkozó hosszabb távú tervei nem azt jelentik, hogy célszerű halogatni a kétfaktoros azonosítás engedélyezését. Jelenleg a fejlesztők számos megoldás közül választhatnak: kódgenerálás fizikai tokennel, virtuális biztonsági kulcsok, TOTP-alapú kódgenerálást lehetővé tevő alkalmazások és appok vagy SMS-es hitelesítés. (Ez utóbbit a GitHub már nem igazán preferálja.)
 
A GitHub az elmúlt időszakban egyebek mellett az alábbi területeken végzett védelmi fejlesztéseket:
- kétfaktoros hitelesítés
- bejelentkezésekről értesítők küldése
- kompromittált jelszavak blokkolása
- WebAuthn támogatás.