Ab nächster Woche verlangt GitHub von aktiven Entwicklern auf der Website, dass sie mindestens eine Form der Zwei-Faktor-Authentifizierung (2FA) aktivieren. Die Sicherheitsinitiative startet am 13. März mit speziell ausgewählten Gruppen von Entwicklern und Administratoren.
Bis Ende des Jahres wird GitHub damit beginnen, diejenigen zu benachrichtigen, die über die 2FA-Anforderung ausgewählt wurden. Im Laufe des Jahres werden immer mehr Nutzer verpflichtet sein, die Zwei-Faktor-Authentifizierung zu aktivieren.
Siehe auch:
Zur Einführung der neuen Sicherheitsmaßnahmen sagt GitHub: „Am 13 Beginnen Sie mit der Einführung unserer Initiative, alle Entwickler, die Code auf GitHub.com beitragen, bis Ende 2023 dazu zu verpflichten, eine oder mehrere Formen der Zwei-Faktor-Authentifizierung (2FA) zu aktivieren.“
GitHub zeigt eine Bannerbenachrichtigung an auf Konten, die für die Registrierung im Programm ausgewählt wurden, und weisen Sie sie auf die Notwendigkeit hin, 2FA innerhalb von 45 Tagen zu aktivieren. Wenn der Stichtag naht, wird jeder, der ausgewählt wurde, sich aber noch für die Aktivierung von 2FA angemeldet hat, täglich dazu aufgefordert.
Wenn die Zwei-Faktor-Authentifizierung eine Woche nach Ablauf der Frist nicht aktiviert wird, verliert der Zugriff auf GitHub Funktion, bis sie aktiviert wird.
GitHub sagt, dass es verschiedene Änderungen an der 2FA-“Erfahrung”vornimmt, um den Übergang zu erleichtern:
Zweitfaktor-Validierung nach der 2FA-Einrichtung. Nutzer von GitHub.com, die 2FA eingerichtet haben, sehen nach 28 Tagen eine Eingabeaufforderung, in der sie aufgefordert werden, 2FA durchführen und die Einstellungen des zweiten Faktors bestätigen. Diese Eingabeaufforderung hilft, eine Kontosperrung aufgrund falsch konfigurierter Authentifizierungsanwendungen (TOTP-Apps) zu vermeiden. Wenn Sie feststellen, dass Sie 2FA nicht durchführen können, wird Ihnen eine Verknüpfung angezeigt, mit der Sie Ihre 2FA-Einrichtung zurücksetzen können, ohne dass Ihr Konto gesperrt wird. Zweite Faktoren registrieren. Zugänglichere 2FA-Methoden sind wichtig, um sicherzustellen, dass Sie immer Zugriff auf Ihr Konto haben. Sie können jetzt sowohl eine Authentifizierungs-App (TOTP) als auch eine SMS-Nummer, die gleichzeitig in Ihrem Konto registriert sind. Während wir empfehlen Sicherheitsschlüssel und Ihre TOTP-App über SMS zu verwenden, beides gleichzeitig zuzulassen, hilft dabei, die Kontosperrung zu reduzieren, indem eine weitere zugängliche, verständliche 2FA-Option bereitgestellt wird, die Entwickler aktivieren können.Wählen Sie Ihre bevorzugte 2FA-Methode. Das Neue bevorzugte Option befähigt Sie zum Festlegen Ihre bevorzugte 2FA-Methode für die Kontoanmeldung und die Verwendung der sudo-Eingabeaufforderung, sodass Sie bei der Anmeldung immer zuerst nach Ihrer bevorzugten Methode gefragt werden. Sie können zwischen TOTP, SMS, Sicherheitsschlüsseln oder GitHub Mobile als bevorzugte 2FA-Methode wählen. Wir empfehlen dringend die Verwendung von Sicherheitsschlüsseln und TOTPs, wo immer möglich. SMS-basiertes 2FA bietet nicht das gleiche Schutzniveau und wird unter NIST 800-63B nicht mehr empfohlen. Die stärksten verfügbaren Methoden sind diejenigen, die den sicheren Authentifizierungsstandard WebAuthn unterstützen. Zu diesen Methoden gehören physische Sicherheitsschlüssel sowie persönliche Geräte, die Technologien wie Windows Hello oder Face ID/Touch ID unterstützen.Verknüpfung Ihrer E-Mails im Falle einer 2FA-Sperre aufheben. Da Konten auf GitHub erforderlich sind eine eindeutige E-Mail-Adresse haben, haben gesperrte Benutzer Schwierigkeiten, ein neues Konto mit ihrer bevorzugten E-Mail-Adresse zu eröffnen – derjenigen, auf die alle ihre Commits verweisen. Mit dieser Funktion können Sie jetzt Entfernen Sie die Verknüpfung Ihrer E-Mail-Adresse mit einem Zwei-Faktor-aktivierten GitHub-Konto, falls Sie sich nicht anmelden oder sie nicht wiederherstellen können. Wenn Sie keinen SSH-Schlüssel, PAT oder ein Gerät finden können, das zuvor bei GitHub angemeldet war, um Ihr Konto wiederherzustellen, ist es einfach, mit einem neuen GitHub.com-Konto neu anzufangen und dieses Beitragsdiagramm zu Recht grün zu halten.
Weitere Informationen finden Sie unter Blogbeitrag von GitHub.