Passwort für Git-Vorgänge nicht mehr zulässig GitHub stellt auf Zwei-Faktor-Authentifizierung um

Redakteur: Stephan Augsten

Von der reinen Passwort-Authentifizierung will sich GitHub seit längerem verabschieden, Mitte August war es soweit: Ein zweiter Faktor soll fortan Git-Vorgänge bestätigen, die Möglichkeiten reichen vom zeitbasierten EInmalpasswort bis hin zum physischen Sicherheitstoken.

Firma zum Thema

GitHub sichert Git-Vorgänge mit einem zweiten Faktor ab, die Ausprägung bleibt dem User aber weitestgehend selbst überlassen.
GitHub sichert Git-Vorgänge mit einem zweiten Faktor ab, die Ausprägung bleibt dem User aber weitestgehend selbst überlassen.
(Bild: GitHub)

Im Dezember 2020 hatte GitHub angekündigt, ab dem 13. August 2021 bei der Autorisierung von Git-Vorgängen keine Account-Passwörter mehr akzeptieren zu wollen. Diesen Stichtag hat GitHub eingehalten und ruft Nutzerinnen und Nutzer dazu auf, einen zweiten Faktor für Git-Vorgänge einzurichten und sich damit vor Phishing und anderen Angriffen zu schützen.

Git-Vorgänge auf GitHub.com erfordern nun starke Authentifizierungsfaktoren wie einen persönlichen Zugriffstoken, SSH-Schlüssel (für Entwickler) oder ein OAuth- oder GitHub-App-Installationstoken (für Integratoren). Um möglichst wenig Grenzen zu setzen, können die User aus einer ganzen Reihe an Optionen wählen, darunter:

  • Physische Sicherheitsschlüssel
  • WebAuthn-fähige, virtuelle Sicherheitsschlüssel
  • TOTP-Apps (Generierung zeitbasierter Einmal-Passwörter)
  • SMS

Von letzterer Option rät GitHub aber von vornherein eher ab, da die SMS-basierte Zwei-Faktor-Authentifizierung nicht das gleiche Maß an Schutz bietet und laut NIST 800-63B nicht mehr empfohlen werden. Für besonders vielversprechend hält GitHub den aufkommenden WebAuthn-Standard für sichere Authentifizierung, den physische Security Token wie der YubiKey oder virtuelle, geräteabhängige Technologien wie Windows Hello und Face ID bzw. Touch ID bieten.

Commit-Verifizierung mit Sicherheitsschlüssel

Sobald das Konto entsprechend abgesichert wurde, können die Anwender beispielsweise auch ihre Git-Commits mit einem GPG-Schlüssel signieren, der auf dem Sicherheitsschlüssel gespeichert ist. Für den YubiKey hat GitHub eine ausführliche Konfigurationsanleitung für die Commit-Verifizierung und die SSH-basierte Authentifizierung erstellt, zudem ein entsprechendes Video. Aus aktuellem Anlass bietet GitHub gebrandete YubiKey-5- und -5c-NFC-Schlüssel im eigenen Shop an, solange der Vorrat reicht.

(ID:47581659)