GitHub ondersteunt fysieke sleutels, wil van wachtwoorden af

Abonneer je gratis op Techzine!

GitHub wil in de toekomst de ondersteuning van wachtwoorden op zijn platform stopzetten en overstappen naar veiligere authenticatie-standaarden.

Het platform heeft aangekondigd tegenwoordig veiligheidssleutels te ondersteunen voor SSH Git-operaties.

Onvoldoende veiligheid wachtwoorden

De stap naar een wachtwoordloos platform heeft te maken met het feit dat wachtwoorden steeds minder effectief zijn als enkele veiligheidsmaatregel. De afgelopen paar jaar hebben grote bedrijven bijvoorbeeld steeds vaker te maken gehad met datalekken. Daarom zijn in het verleden ook wachtwoordmanagers, biometrische maatregelen en veiligheidssleutels ontstaan.

Veiligheidssleutels, zoals YubiKey en Google Titan Security Keys, zijn fysieke dongels, die een extra laag aan beveiliging toevoegen aan accounts en online diensten. GitHub-securityengineer Kevin Jones geeft in een blogpost aan dat wanneer je een veiligheidssleutel toevoegt aan SSH-operaties, je deze devices kunt gebruiken om je account te beschermen tegen dingen als malware en kaping.

GitHub ondersteuning tot later dit jaar

Jones merkt op dat GitHub erkent dat wachtwoorden handig zijn, maar dat ze helaas ook een consistente bron vormen voor uitdagingen met betrekking tot de accountveiligheid. “We geloven dat wachtwoorden het heden en het verleden representeren, maar niet de toekomst”, aldus de veiligheidsingenieur. Het platform gelooft dat het basisveiligheidsniveau van iedere gebruiker en organisatie verhoogd wordt door het stopzetten van wachtwoord-ondersteuning. Hierdoor wordt ook de veiligheid vergroot van de hieruit voortvloeiende software supply chain.

Op het moment kunnen GitHub-gebruikers een wachtwoord, een persoonlijke toegangstoken of een SSH-sleutel gebruiken voor Git. Het bedrijf is echter van plan om later dit jaar de mogelijkheid om wachtwoorden te gebruiken te verwijderen. Om de overstap te maken heeft GitHub documentatie online staan. Hierin staat onder andere hoe gebruikers een nieuwe sleutel kunnen aanmaken en deze kunnen toevoegen aan hun account. Het proces is vergelijkbaar met hoe gebruikers in het verleden een SSH-sleutel konden koppelen aan hun account.

Tip: Passwordless: verdwijnen wachtwoorden of zijn ze een blijvertje?