image

GitHub verplicht eind 2023 tweefactorauthenticatie voor alle ontwikkelaars

woensdag 4 mei 2022, 18:00 door Redactie, 7 reacties

Alle ontwikkelaars die op de één of andere manier bijdragen aan code op GitHub.com zullen eind 2023 tweefactorauthenticatie (2FA) voor hun account moeten hebben ingeschakeld, zo laat het populaire platform voor softwareontwikkelaars vandaag weten. Volgens GitHub zijn accounts van softwareontwikkelaars geregeld het doelwit van aanvallen en is het beveiligen van deze accounts de eerste en belangrijkste stap in het beschermen van de software supply chain.

"De meeste beveiligingsincidenten zijn niet het gevolg van exotische zeroday-aanvallen, maar eenvoudigere aanvallen zoals social engineering, wachtwoorddiefstal of -lekken en andere manieren waardoor aanvallers toegang tot accounts van slachtoffers krijgen en de middelen waar die toegang toe hebben", zegt Mike Hanley van GitHub. Via gecompromitteerde accounts kunnen aanvallers code stelen of kwaadaardige aanpassingen aan code toevoegen.

Hanley stelt dat 2FA een belangrijke maatregel is om accounts te beschermen. Slechts 16,5 procent van de actieve GitHub-gebruikers heeft dit echter ingesteld en slechts 6,44 procent van de npm-gebruikers. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en eigendom van GitHub. Met de vandaag aangekondigde maatregel zal 2FA straks voor alle accounts verplicht zijn. De komende maanden zal GitHub meer details over de 2FA-plannen geven.

Reacties (7)
04-05-2022, 18:12 door Anoniem
Niet zo gek gezien Microsoft eigenaar is van GitHub sinds 2018. Dit gaat ze potentieel wel 83,5% van hun actieve gebruikers kosten. Wie wil nu de 2FA van Microsoft gebruiken? Het wordt je door de strot geduwd en programmeurs hebben dat best wel door (behalve die 16,5% dan).
04-05-2022, 20:36 door johanw
Een nieuwe manier van MS om achter je telefoon nummer te komen. Ze zijn daar aardig opdringerig in.
05-05-2022, 08:23 door gradje71
Allemaal in de naam van vooruitgang.
05-05-2022, 09:18 door Anoniem
Door Anoniem: Niet zo gek gezien Microsoft eigenaar is van GitHub sinds 2018. Dit gaat ze potentieel wel 83,5% van hun actieve gebruikers kosten. Wie wil nu de 2FA van Microsoft gebruiken? Het wordt je door de strot geduwd en programmeurs hebben dat best wel door (behalve die 16,5% dan).

Je hoeft niet per definitie 2FA van Microsoft te gebruiken.
Een yubikey werkt ook.

Goede zaak, developers denken altijd alles onder controle te hebben qua security. Dat maar 16,5% van de gebruikers 2FA gebruikt laat wel zien dat ze nog een hoop kunnen leren.
05-05-2022, 09:27 door _R0N_
Door Anoniem: Niet zo gek gezien Microsoft eigenaar is van GitHub sinds 2018. Dit gaat ze potentieel wel 83,5% van hun actieve gebruikers kosten. Wie wil nu de 2FA van Microsoft gebruiken? Het wordt je door de strot geduwd en programmeurs hebben dat best wel door (behalve die 16,5% dan).

Als je het gelezen had had je geweten dat je niet verplicht bent je telefoonnummer te gebruiken.
This option sits alongside our existing channels: security keys and WebAuthn, one-time passcodes, and SMS.

Je opmerking is dus weer voorbarig en onzinnig.
05-05-2022, 10:06 door gradje71 - Bijgewerkt: 05-05-2022, 10:28
Never mind. Foutje van mijn kant.
05-05-2022, 14:36 door Anoniem
Door _R0N_: Als je het gelezen had had je geweten dat je niet verplicht bent je telefoonnummer te gebruiken.
This option sits alongside our existing channels: security keys and WebAuthn, one-time passcodes, and SMS.

SMS gaat sowieso verdwijnen. En alles zonder TPM 2.0 daarna, want daar heeft Microsoft met Windows 11 zwaar op ingezet. Wat is er dan nog over van de alternatieven voor GitHub?

Microsoft wil niet vijf standaarden om in te loggen, maar een. En dat is Windows Hello.

Anoniem 18:12
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.