GitHub gaat two-factor authentication (2FA) verplichten voor alle gebruikers die code naar het platform uploaden. Het open-source codeplatform wil zich hiermee wapenen tegen supply chainaanvallen.

GitHub-gebruikers die code bijdragen, Actions gebruiken, pull requests openen of mergen en packages publiceren verplicht 2FA te gebruiken. Ook andere GitHub-eindgebruikers kunnen hiertoe worden verplicht.

GitHub gaat de verplichte 2FA hard doorvoeren, zo geeft het platform aan. Iedere eindgebruiker die geen 2FA toepast, zal van het platform worden verwijderd. Gebruikers krijgen tot eind 2023 de tijd deze vorm van beveiliging toe te passen.

Verschillende opties

Ontwikkelaars kunnen voor deze 2FA verschillende opties gebruiken: fysieke en virtuele security keys die in laptops of telefoons zijn ingebouwd of Time-based One-Time Password (TOTP) authenticatie-apps. Via sms verstuurde authenticatiemogelijkheden worden afgeraden, aangezien deze volgens GitHub makkelijk kunnen worden onderschept.

Bestrijding supply chain-aanvallen

De belangrijkste reden waarom het code-platform nu 2FA strikt doorvoert, is dat het zich beter wil wapenen tegen supply chain-aanvallen. Een belangrijke stap in dit proces is het niet meer gebruiken van traditionele inlogmethodes, zoals het gebruik van wachtwoorden.

GitHub is al langer bezig de beveiliging van het platform op te voeren. Zo moeten devices al langer via e-mail worden geverifieerd en is het gebruik van account-wachtwoorden voor het authenticeren van Git-werkzaamheden inmiddels afgeschaft. Ook is wachtwoordauthenticatie via de REST API al bijna twee jaar afgeschaft en is vorig jaar ondersteuning toegevoegd voor SSH Git-werkzaamheden met behulp van FIDO2 security keys.

Verder heeft het platform een eigen 2FA-dienst ontwikkeld en is ondersteuning toegevoegd voor sign-in alerts, worden bekende gecompromitteerde wachtwoorden automatisch geblokkeerd en is ondersteuning voor WebAuthn toegevoegd.

Tip: GitHub ondersteunt fysieke sleutels, wil van wachtwoorden af