1 Minute
GitHub verlangt Zweifaktor-Authentifizierung
GitHub macht ab kommender Woche Ernst und beginnt mit dem Ausrollen der verpflichtenden Zweifaktor-Authentifizierung für Nutzerkonten. Dies soll Account-Übernahmen durch Angreifer und das Einschleusen von schädlichem Code in legitimen Projekten wie auch den Diebstahl von nicht veröffentlichtem Code erschweren. Die Plattform geht dabei schrittweise vor, um den Betroffenen genügend Zeit für die Einrichtung zu geben.
Eine Zweifaktor-Authentifizierung (2FA) ist bei vielen sicherheitskritischen Diensten bereits Standard. Nun zieht GitHub nach und verlangt von seinen Usern nach und nach einen zweiten Faktor für die Anmeldung an ihrem Konto. Das können unter anderem physische oder virtuelle Token sein, Authenticator-Apps oder auch die GitHub Mobile App nach der Konfiguration von Time-based One-Time Password (TOTP) sowie eine SMS-Authentifizierung. Von Letzterer raten die Verantwortlichen bei GitHub jedoch ab und in der Tat werden Authentifizierungs-SMS durch SIM-Swapping immer wieder ausgehebelt.
Fällt ein Konto in die ausgewählte Gruppe zur Aktivierung der Zweifaktor-Authentifizierung, erhalten die betroffenen Nutzer 45 Tage Zeit, um diese für ihr Konto einzurichten. Sollte dies nicht geschehen, erfolgt nach Ablauf der Deadline für eine Woche der Hinweis beim Anmelden, die 2FA zu aktivieren. Anschließend wird der Zugang bis zu deren Einrichtung gesperrt. 28 Tage nach dem Aktivieren der 2FA soll dann noch einmal eine Prüfung erfolgen, ob diese ordnungsgemäß arbeitet. So sollen bis Jahresende Schritt für Schritt die Konten umgestellt werden. Da GitHub eine bedeutende Rolle bei der Entwicklung von Software spielt, dürfte dieser Schritt einen wichtigen Beitrag zum Schutz vor Lieferkettenangriffen leisten.