На GitHub тепер можна захистити операції SSH Git ключами безпеки: тобто фізичними пристроями на кшталт YubiKey, Thetis Fido U2F S чи Google Titan Security Key, які працюють через USB, NFC або Bluetooth.
Два роки тому дослідники помітили, що у 100 000 репозиторіїв на GitHub були зламані токени API і криптографічні ключі (SSH і TLS). У тисячах сховищ щодня відбувається витік секретів (PDF дослідження).
Тож портативні ключі для автентифікації можуть додатково захистити GitHub-проєкти й користувачів. Вони додаються в обліковий запис, як і будь-який інший SSH-ключ (ось інструкція). Відкрита частина буде зберігатись на комп'ютері, а закрита — на фізичному ключі безпеки.
Рекомендується також прив'язати усі раніше зареєстровані SSH-ключі до портативних пристроїв. Тоді не доведеться стежити за всіма SSH— адже вони все одно не працюватимуть без доступу до фізичного ключа.
GitHub автоматично видалятиме з облікових записів всі ключі SSH, які не використовувались протягом року. Тож це додатковий шар захисту для пристроїв, які, наприклад, загубились.
У серпні 2021 року GitHub планує перейти на автентифікацію на базі токенів, тож паролі облікових записів більше не діятимуть для Git-операцій.
Ще немає коментарів