GitHub verlangt Zweifaktor-Authentifizierung

Lesezeit
weniger als
1 Minute
Bis jetzt gelesen

GitHub verlangt Zweifaktor-Authentifizierung

10.03.2023 - 08:38
Veröffentlicht in:

GitHub macht ab kommender Woche Ernst und beginnt mit dem Ausrollen der verpflichtenden Zweifaktor-Authentifizierung für Nutzerkonten. Dies soll Account-Übernahmen durch Angreifer und das Einschleusen von schädlichem Code in legitimen Projekten wie auch den Diebstahl von nicht veröffentlichtem Code erschweren. Die Plattform geht dabei schrittweise vor, um den Betroffenen genügend Zeit für die Einrichtung zu geben.

Eine Zweifaktor-Authentifizierung (2FA) ist bei vielen sicherheitskritischen Diensten bereits Standard. Nun zieht GitHub nach und verlangt von seinen Usern nach und nach einen zweiten Faktor für die Anmeldung an ihrem Konto. Das können unter anderem physische oder virtuelle Token sein, Authenticator-Apps oder auch die GitHub Mobile App nach der Konfiguration von Time-based One-Time Password (TOTP) sowie eine SMS-Authentifizierung. Von Letzterer raten die Verantwortlichen bei GitHub jedoch ab und in der Tat werden Authentifizierungs-SMS durch SIM-Swapping immer wieder ausgehebelt.

Fällt ein Konto in die ausgewählte Gruppe zur Aktivierung der Zweifaktor-Authentifizierung, erhalten die betroffenen Nutzer 45 Tage Zeit, um diese für ihr Konto einzurichten. Sollte dies nicht geschehen, erfolgt nach Ablauf der Deadline für eine Woche der Hinweis beim Anmelden, die 2FA zu aktivieren. Anschließend wird der Zugang bis zu deren Einrichtung gesperrt. 28 Tage nach dem Aktivieren der 2FA soll dann noch einmal eine Prüfung erfolgen, ob diese ordnungsgemäß arbeitet. So sollen bis Jahresende Schritt für Schritt die Konten umgestellt werden. Da GitHub eine bedeutende Rolle bei der Entwicklung von Software spielt, dürfte dieser Schritt einen wichtigen Beitrag zum Schutz vor Lieferkettenangriffen leisten.

Tags

Ähnliche Beiträge

Zoom erhält BSI-Sicherheitskennzeichen

Zoom erhält zwei IT-Sicherheitskennzeichen vom Bundesamt für Sicherheit in der Informationstechnik. Der Anbieter von Videokonferenzen nimmt die Kennzeichnung für die Dienste "Zoom Workplace Basic" und "Zoom Workplace Pro" entgegen. Die Auszeichnung soll die Transparenz bei der IT-Sicherheit von Konferenzdiensten erhöhen. Maßgeblich für die Erteilung ist die DIN SPEC 27008.

Mehr MFA-Komfort in privacyIDEA

NetKnights gibt die Version 3.10 der MFA-Software privacyIDEA frei. Als neues Authentifizierungsverfahren ist WebAuthn in der Version 3.10 nun auch offline nutzbar. Weiterhin wurde die Authentifizierung mittels PUSH-Token erweitert. Die neue Version ist ab sofort über den Python Package Index sowie in den Community Repositories für Ubuntu 20.04 und 22.04 verfügbar.

Mit Pentests zu sicheren Cloudumgebungen

Horizon3.ai, Anbieter von autonomen Cybersicherheitswerkzeugen, hat unter dem Namen "NodeZero Cloud Pentesting" eine neue Software vorgestellt. Sie soll Unternehmen dabei helfen, komplexe ausnutzbare Schwachstellen und versteckte Angriffspfade in ihren Cloudumgebungen zu identifizieren und zu beheben. Zielgruppe sind sowohl Unternehmen als auch öffentliche Verwaltungen, die mit der Neuvorstellung sowohl AWS- als auch Azure-Landschaften bewerten und sichern können.