Hardveres tokenre épülő kétfaktoros azonosítással erősít rá a biztonságra a GitHub – írta a Biztonságportál. Az, hogy a jelszó önmagában már nagyon kevés, mondhatni köztudott. A kutatások rendre kimutatják, hogy a felhasználók jelszóhasználati szokásai (egyszerű jelszavak, egy felhasználónév-jelszó páros használata minden hozzáféréshez stb.) devalválták ez a védelmet. A GitHub egy ideje lehetővé tett többféle többfaktoros azonosítást is: van már SMS-alapú és a Google Authenticatorral használható szoftveres token is. Most kétfaktoros azonosításokra szakosodott Yubicóval együttműködve bevezették a hardveres tokenekre épülő azonosítást is.

Az új authentikációs alrendszerhez az U2F (FIDO Universal 2nd Factor) szabvánnyal kompatibilis hardveres tokenek használhatók.

Csökken az adathalászat veszélye

A hardveres token a szoftveres tokeneknél lényegesen magasabb biztonsági szintet ad. Van például olyan károkozó, amely szoftveres tokennek álcázza magát, és ez csak egy a lehetséges problémák közül. Az SMS-re épülő kétfaktoros azonosítás problémája sem lép fel, például az, hogy egyes trójai programok épp az egyszer használatos kódokat tartalmazó SMS-eket lopják el.

Az új azonosítási eljárással főleg a közbeékelődéses és az adathalász támadások kockázata csökkenthető.

Az új eljáráshoz csupán egy megfelelő YubiKey tokenre lesz szükségük a GitHub regisztrált tagjainak, amelyen a számítógéphez csatlakoztatva be kell állítaniuk a kulcsokat. Ehhez nem kell telepíteniük sem drivert, sem más szoftvert.

A GitHub a regisztrált tagjainak kedvezményes áron biztosítja a YubiKeyt. Az első ötezer tokent 18 helyett 5 dollárért adja, de az erről a pakkról lemaradók is 20 százalék kedvezményt kapnak. Lesz speciális diákkedvezmény is.

A dolog szépséghibája, hogy bár a 2007-ben elindított GitHub a világ egyik legnépszerűbb – ha nem a legnépszerűbb – webes repository szolgáltatása, a biztonsági szint fokozását nem követeli meg szigorúan tagjaitól. Így van ez a hardveres tokennél is: ha valaki nem akarja használni, maradhat az eddigi hitelesítési eljárásoknál.

A GitHub egyébként más módon is igyekszik növelni a biztonságát. Tavaly év elején vezette be a sérülékenységkeresési programját, azaz díjat ajánlott fel a biztonsági rések felfedezőinek. A program olyannyira sikeres volt, hogy idén megduplázták a pénzdíjakat: a kritikus hibákért 10 ezer dollárt fizetnek.