GitHub внедряет двухфакторную аутентификацию для миллионов пользователей
12 марта 2023 г.GitHub, используемый большинством крупных технологических компаний, объявил о развертывании 2FA. Признавая растущие риски безопасности цепочки поставок, компания начинает девятимесячное развертывание в понедельник, 13 марта. Все разработчики, которые вносят код на платформу, в конечном итоге должны будут принять протокол безопасности, объявила компания в четверг.
ПОСМОТРЕТЬ: Набор для найма: разработчик с полным стеком (TechRepublic Premium)
Служба DevOps, принадлежащая Microsoft, заявила, что этот шаг соответствует Национальной стратегии кибербезопасности, которая, среди прочего, возлагает большую ответственность за безопасность на поставщиков программного обеспечения.
Перейти к:
- Быть разработчиком не делает вас неуязвимым
Различные варианты 2FA, но биометрия и пароли важнее SMS
Последний шаг следует ритму программ безопасности GitHub
Внедрение в течение нескольких месяцев для сведения к минимуму простоев и оптимизации протоколов
GitHub предлагает разработчикам временную шкалу 2FA
Гибкость электронной почты, позволяющая избежать блокировки
Быть разработчиком не делает вас неуязвимым
Даже разработчики допускают ошибки и могут стать жертвами нарушений безопасности. Майк Хэнли, директор по безопасности и старший вице-президент по разработке в GitHub, написал в блоге в мае 2022 года, в котором впервые упоминается план 2FA, что скомпрометированные учетные записи могут использоваться для кражи частного кода или внесения вредоносных изменений в этот код.
«Это подвергает риску не только отдельных лиц и организации, связанные со скомпрометированными учетными записями, но и любых пользователей уязвимого кода», — написал он. «Потенциал последующего воздействия на более широкую экосистему программного обеспечения и цепочку поставок в результате значителен».
Джастин Каппос, профессор компьютерных наук в Нью-Йоркском университете и один из разработчиков сред безопасности программного обеспечения in-toto и Uptane, сказал, что принятие Github 2FA является важным первым шагом в решении серьезной проблемы.
«Внедрение кода в организацию — одна из худших атак, которые может совершить человек. Поэтому защита того, как люди работают над кодом, что сегодня часто означает работу над кодом через GitHub, действительно важна. В той мере, в какой они усложняют задачу злоумышленникам, это огромный плюс», — сказал он.
ПОСМОТРЕТЬ: Как свести к минимуму риски безопасности: следуйте этим рекомендациям для достижения успеха (TechRepublic Premium)
Различные варианты 2FA, но биометрия и пароли важнее SMS
GitHub также предлагает предпочтительный вариант 2FA для входа в учетную запись с приглашением sudo, позволяя пользователям выбирать между одноразовыми паролями на основе времени, SMS, ключами безопасности или GitHub Mobile. Тем не менее, компания призывает пользователей использовать ключи безопасности, в том числе физические ключи безопасности, такие как Yubikey, и TOTP, отмечая, что двухфакторная аутентификация на основе SMS менее безопасна.
NIST, который больше не рекомендует 2FA, указал, что:
- Внеполосный секрет, отправленный по SMS, может быть получен злоумышленником, который убедил мобильного оператора перенаправить мобильный телефон жертвы злоумышленнику.
Вредоносное приложение на конечной точке может прочитать внеполосный секрет, отправленный через SMS, и злоумышленник может использовать секрет для аутентификации.
«Самые надежные широко доступные методы — это те, которые поддерживают стандарт безопасной аутентификации WebAuthn», — говорится в сообщении GitHub. «Эти методы включают физические ключи безопасности, а также персональные устройства, поддерживающие такие технологии, как Windows Hello или Face ID/Touch ID».
Каппос сказал, что важность дифференциации методов 2FA невозможно переоценить. «Для 2FA не все одинаково. Ключи Yubikey, например, являются золотым стандартом, потому что вам физически придется украсть ключ, чтобы что-то произошло», — сказал он.
ПОСМОТРЕТЬ: 1Password стремится к будущему без паролей. Вот почему (TechRepublic)
GitHub заявил, что также тестирует ключи доступа, протокол учетных данных следующего поколения, в качестве защиты от эксплойтов, таких как фишинг.
«Поскольку ключи доступа по-прежнему являются более новым методом аутентификации, мы работаем над их внутренним тестированием, прежде чем предлагать их клиентам», — сказал представитель. «Мы считаем, что они будут сочетать простоту использования с надежной и защищенной от фишинга аутентификацией».
Последний шаг следует ритму программ безопасности GitHub
Стремясь закрыть лазейки для борьбы с злоумышленниками, GitHub прошлой осенью расширил свою программу сканирования секретов, позволив разработчикам отслеживать любые общедоступные секреты в их общедоступном репозитории GitHub.
А ранее в этом году GitHub запустил параметр настройки сканирования кода под названием «настройка по умолчанию», который позволяет пользователям автоматически включать сканирование кода.
«Наша инициатива 2FA является частью общеплатформенных усилий по обеспечению безопасности разработки программного обеспечения за счет повышения безопасности учетных записей», — говорится в сообщении компании, отмечая, что учетные записи разработчиков являются целями социальной инженерии и захвата учетных записей.
Внедрение в течение нескольких месяцев для сведения к минимуму простоев и оптимизации протоколов
Согласно GitHub, процесс распространения новых протоколов призван свести к минимуму неудобства для пользователей, при этом группы выбираются на основе предпринятых ими действий или кода, в который они внесли свой вклад (рис. A).
Рисунок А
Компания заявила, что медленное развертывание также облегчит GitHub внесение корректировок по мере необходимости, прежде чем масштабироваться на все более и более крупные группы в течение этого года.
Представитель GitHub объяснил, что, хотя компания не будет раскрывать подробности того, как пользователи могут претендовать на участие в определенных группах в каденции 2FA, человек сказал, что группы определяются частично на основе их влияния на безопасность. более широкая экосистема. В группы с высоким уровнем воздействия будут входить пользователи, которые:
- Опубликованные приложения GitHub или OAuth, действия или пакеты.
Создал релиз.
Размещал код в репозиториях, признанных критическими npm, OpenSSF, PyPI или RubyGems.
Размещал код в любом из примерно четырех миллионов лучших общедоступных и частных репозиториев.
Выступать в роли администраторов предприятий и организаций.
Для тех, кто настроен на упреждение, компания предлагает 2FA сразу на специальном сайте.
GitHub предлагает разработчикам временную шкалу 2FA
Процесс для участников GitHub устанавливает несколько временных маркеров для инициирования 2FA вокруг мягкого крайнего срока (рис. B).
Рисунок Б
До крайнего срока
Участники GitHub, выбранные для ожидающей группы 2FA, получат предварительное уведомление по электронной почте за 45 дней до крайнего срока, сообщив им о крайнем сроке и предложив рекомендации о том, как включить 2FA.
По истечении срока активации
Тем, кто будет уведомлен, будет предложено включить 2FA при первом входе на GitHub.com каждый день. Они могут откладывать это приглашение один раз в день на срок до одной недели, но после этого они не смогут получить доступ к функциям GitHub.com, пока не включат двухфакторную аутентификацию.
28 дней после включения 2FA
Пользователи получат «проверку» 2FA при использовании GitHub.com, которая подтверждает, что их настройка 2FA работает правильно. Ранее вошедшие пользователи смогут перенастроить двухфакторную аутентификацию, если они неправильно настроили или потеряли вторые факторы или коды восстановления во время регистрации.
Гибкость электронной почты, позволяющая избежать блокировки
К счастью, новые протоколы позволяют пользователям отвязать электронную почту от учетной записи GitHub с поддержкой 2FA, чтобы избежать парадокса блокировки самой вещи — электронной почты — которая позволяет им подтвердить учетную запись, если они не могут войти или восстановить ее.
«Если вы не можете найти SSH-ключ, PAT или устройство, на котором ранее был выполнен вход в GitHub, чтобы восстановить свою учетную запись, можно легко начать заново с новой учетной записью GitHub.com и сохранить этот график вклада по праву зеленым», — говорится в сообщении. компания.
Оригинал