Hardveres tokenre épülő kétfaktoros azonosítással erősít rá a biztonságra a GitHub – írta a Biztonságportál. Az, hogy a jelszó önmagában már nagyon kevés, mondhatni köztudott. A kutatások rendre kimutatják, hogy a felhasználók jelszóhasználati szokásai (egyszerű jelszavak, egy felhasználónév-jelszó páros használata minden hozzáféréshez stb.) devalválták ez a védelmet. A GitHub egy ideje lehetővé tett többféle többfaktoros azonosítást is: van már SMS-alapú és a Google Authenticatorral használható szoftveres token is. Most kétfaktoros azonosításokra szakosodott Yubicóval együttműködve bevezették a hardveres tokenekre épülő azonosítást is.
Az új authentikációs alrendszerhez az U2F (FIDO Universal 2nd Factor) szabvánnyal kompatibilis hardveres tokenek használhatók.
Csökken az adathalászat veszélye
A hardveres token a szoftveres tokeneknél lényegesen magasabb biztonsági szintet ad. Van például olyan károkozó, amely szoftveres tokennek álcázza magát, és ez csak egy a lehetséges problémák közül. Az SMS-re épülő kétfaktoros azonosítás problémája sem lép fel, például az, hogy egyes trójai programok épp az egyszer használatos kódokat tartalmazó SMS-eket lopják el.
Az új azonosítási eljárással főleg a közbeékelődéses és az adathalász támadások kockázata csökkenthető.
Az új eljáráshoz csupán egy megfelelő YubiKey tokenre lesz szükségük a GitHub regisztrált tagjainak, amelyen a számítógéphez csatlakoztatva be kell állítaniuk a kulcsokat. Ehhez nem kell telepíteniük sem drivert, sem más szoftvert.
A GitHub a regisztrált tagjainak kedvezményes áron biztosítja a YubiKeyt. Az első ötezer tokent 18 helyett 5 dollárért adja, de az erről a pakkról lemaradók is 20 százalék kedvezményt kapnak. Lesz speciális diákkedvezmény is.
A dolog szépséghibája, hogy bár a 2007-ben elindított GitHub a világ egyik legnépszerűbb – ha nem a legnépszerűbb – webes repository szolgáltatása, a biztonsági szint fokozását nem követeli meg szigorúan tagjaitól. Így van ez a hardveres tokennél is: ha valaki nem akarja használni, maradhat az eddigi hitelesítési eljárásoknál.
A GitHub egyébként más módon is igyekszik növelni a biztonságát. Tavaly év elején vezette be a sérülékenységkeresési programját, azaz díjat ajánlott fel a biztonsági rések felfedezőinek. A program olyannyira sikeres volt, hogy idén megduplázták a pénzdíjakat: a kritikus hibákért 10 ezer dollárt fizetnek.
Exkluzív szakmai nap a felhők fölött: KYOCERA Roadshow a MOL Toronyban
A jövő irodája már nem a jövő – hanem a jelen. A digitális transzformáció új korszakába lépünk, és ebben a KYOCERA nemcsak követi, hanem formálja is az irányt. Most itt a lehetőség, hogy első kézből ismerje meg a legújabb hardveres és szoftveres fejlesztéseket, amelyekkel a KYOCERA új szintre emeli a dokumentumkezelést és az üzleti hatékonyságot.
a melléklet támogatója a One Solutions
CIO KUTATÁS
AZ IRÁNYÍTÁS VISSZASZERZÉSE
Valóban egyre nagyobb lehet az IT és az IT-vezető súlya a vállalatokon belül? A nemzetközi mérések szerint igen, de mi a helyzet Magyarországon?
Segítsen megtalálni a választ! Töltse ki a Budapesti Corvinus Egyetem és a Bitport anonim kutatását, és kérje meg erre üzleti oldalon dolgozó vezetőtársait is!
Az eredményeket május 8-9-én ismertetjük a 16. CIO Hungary konferencián.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak