Het populaire platform voor softwareontwikkelaars GitHub ondersteunt nu fysieke security keys voor Git over SSH, wat gebruikers meer bescherming moet geven dan bij het gebruik van een traditionele SSH-key die op het systeem van de ontwikkelaar wordt bewaard.

Een fysieke beveiligingssleutel is een apparaatje dat bijvoorbeeld via usb, nfc of bluetooth met de computer verbinding maakt. In het geval van GitHub zullen ontwikkelaars die via SSH willen inloggen nog steeds een SSH-key voor de beveiligingssleutel moeten genereren. De key vereist de aanwezigheid van de beveiligingssleutel en kan daarnaast met een wachtwoord worden beveiligd.

Zodra de key is gegenereerd moet de ontwikkelaar die aan zijn account toevoegen, net als bij andere SSH-keys het geval is. Er is dan ook nog steeds sprake van een public en private sleutelpaar, alleen worden de 'secret bits' gegenereerd en opgeslagen in de beveiligingssleutel, waarbij het publieke gedeelte op het systeem van de ontwikkelaar wordt opgeslagen, net als met andere SSH public keys. Er is ook een private key bestand op de computer, maar de private SSH key is een verwijzing naar de beveiligingssleutel.

"Als het private key bestand op je computer wordt gestolen is het niet zonder de beveiligingssleutel te gebruiken. Bij het gebruik van SSH met een beveiligingssleutel blijft de gevoelige informatie op de fysieke beveiligingssleutel", zegt Kevin Jones van GitHub. Ontwikkelaars die als enige fysieke toegang tot hun beveiligingssleutel hebben kunnen die in het systeem laten, merkt Jones op.

Op dit moment kunnen ontwikkelaars Git op GitHub nog via een wachtwoord benaderen, maar dat zal later dit jaar niet meer mogelijk zijn en wordt token- of SSH-gebaseerde authenticatie verplicht. "Door het niet meer ondersteunen van wachtwoorden voor Git, zoals we al voor onze API hebben gedaan, wordt het beveiligingsniveau verhoogd voor elke gebruiker en organisatie, en de achterliggende software-supply-chain", besluit Wilson.