GitHub heeft ondersteuning aangekondigd voor de Web Authentication (WebAuthn)-beveiligingsstandaard. De nieuwe standaard moet accounts beter beveiligen tegen cybercriminelen.
Het onvoldoende beveiligen van GitHub-accounts kan leiden tot cybercriminelen die toegang krijgen tot backdoors in open source code of wachtwoorden. Ook zouden ze bijvoorbeeld malware-code kunnen injecteren in een applicatie of dev library. Recent werd er malware ontdekt in een Ruby Gem package, waarschijnlijk veroorzaakt door een gehackt account, meldt The Register.
De ondersteuning voor WebAuthn betekent dat GitHub fysieke security keys ondersteunt in browsers als Firefox en Chrome op Windows, macOS, Linux en Android. Op macOS is dit ook mogelijk in preview-versies van Safari, en op iOS ook met Brave en YubiKey 5Ci. Het is nu ook mogelijk om een laptop of telefoon als key te gebruiken, met behulp van Windows Hello, Touch ID op macOS of een vingerafdrukscanner op Android.
Two-factor authentication
GitHub ondersteunt security keys op dit moment alleen als extra optie, meldt The Register. Dit betekent dat de optie pas beschikbaar werd als er al two-factor authentication (2FA) was ingesteld met SMS of een authenticatie-app. GitHub bekijkt momenteel of het mogelijk is om van keys een optie te maken die direct beschikbaar is. Ook wordt onderzocht of wachtwoordloos inloggen mogelijk zou zijn.
GitHub biedt overigens een aantal manieren om buitensluiting van een account met 2FA te omzeilen, onder andere met recovery-codes. Deze moeten dan echter ergens anders opgeslagen worden (of afgedrukt). Ook geeft GitHub de suggestie om een authenticatie-app te gebruiken waarmee back-ups van keys gemaakt kunnen worden. Google Authenticator en Microsoft Authenticator hebben die mogelijkheid bijvoorbeeld niet.
2FA is sowieso een relatief onveilige optie, aangezien telefoonnummers kunnen worden gekaapt en SMS-berichten kunnen worden onderschept. GitHub ondersteunde eerder al apps met eenmalige wachtwoordauthenticatie en U2F (Universal Second Factor) security keys. U2F is in vergelijking met WebAuthn echter nogal verouderd.
8 uur geleden
