GitHub intègre la prise en charge des clés de sécurité via SSH
GitHub a annoncé la prise en charge des clés de sécurité pour empêcher la compromission des comptes dans les opérations Git SSH.
Les clés de sécurité, une couche de sécurité supplémentaire
Lorsque vous ajoutez une clé de sécurité, vous pouvez utiliser ces dispositifs pour vous protéger et protéger votre compte d’une exposition accidentelle, d’un détournement de compte ou d’un logiciel malveillant, explique Kevin Jones, ingénieur en sécurité de GitHub, dans un billet de blog le 10 mai.
Les clés de sécurité, notamment la clé YubiKey, la clé de sécurité Thetis Fido U2F et la clé de sécurité Google Titan, sont des dongles physiques et portables qui mettent en place une couche de sécurité supplémentaire pour vos services et comptes en ligne.
Les mots de passe forts sont toujours importants, mais en raison de la prévalence des fuites de données et des cyberattaques, ils deviennent moins efficaces en tant que mesure de sécurité unique. Cela pousse les utilisateurs à se tourner vers les gestionnaires de mots de passe qui surveillent également l’exposition des informations d’identification en ligne, la biométrie et les clés de sécurité.
GitHub prend ses distances avec les mots de passe
GitHub souhaite lui aussi prendre ses distances avec les mots de passe classiques et adopter des normes d’authentification plus sûres. Actuellement, les utilisateurs peuvent utiliser un mot de passe, un token d’accès personnel (PAT) ou une clé SSH pour accéder à Git, mais l’entreprise a l’intention de supprimer la prise en charge des mots de passe dans le courant de l’année.
« Nous reconnaissons que les mots de passe sont pratiques, mais ils sont une source constante de problèmes de sécurité des comptes », commente Kevin Jones. « Nous pensons que les mots de passe représentent le présent et le passé, mais pas le futur. En supprimant la prise en charge des mots de passe pour Git, comme nous l’avons déjà fait avec succès pour notre API, nous augmenterons l’hygiène de sécurité de base pour chaque utilisateur et organisation, ainsi que pour la chaîne d’approvisionnement logicielle qui en résulte. »
Pour effectuer la transition, les utilisateurs doivent se connecter et suivre la documentation de GitHub sur la façon de créer une nouvelle clé et de l’ajouter à leur compte. Les utilisateurs trouveront le processus similaire à la façon dont vous ajouteriez une clé SSH à un compte dans le passé. La même clé de sécurité peut être utilisée pour l’authentification web et SSH.
Les opérations à distance nécessiteront une clé supplémentaire
Les opérations Git à distance – notamment push, fetch et pull – nécessiteront une clé supplémentaire afin d’empêcher les logiciels malveillants d’initier des requêtes en votre nom. Cependant, si vous êtes déjà authentifié localement, vous pouvez toujours effectuer des opérations telles que branch et merge sans avoir à repasser par cette étape.
GitHub supprimera également les clés inutilisées et inactives au fil du temps.
L’organisation a été l’une des premières à prendre en charge l’authentification FIDO Universal 2nd Factor (U2F).
Source : ZDNet.com
