GitHub начал поддерживать использование ключей безопасности SSH

12.05.2021      23176

Пользователи GitHub смогут подтверждать вход в аккаунт при помощи портативных устройств, которые используют протокол FIDO2. Репозиторий предлагает всем разработчикам перейти на такой метод аутентификации. 

Новая процедура

Поддержка ключей безопасности для аутентификации по протоколу SSH стала доступна на хостинге ИТ-проектов GitHub 10 мая. Новая возможность обеспечит повышенную защиту от попыток перехвата учетной записи и предотвратит случайное раскрытие секретного ключа.

Разработчикам для доступа к данным, хранящимся в репозитории, по-прежнему необходимо сгенерировать пару из открытого и закрытого ключей. Важное отличие – генерация и хранение секретных битов в ключе безопасности FIDO2, открытая часть которого будет находиться на компьютере пользователя, подобно любым другим открытым ключам SSH. При этом часть закрытого ключа также расположена на устройстве разработчика, но она будет только ссылкой на физический ключ безопасности. Без доступа к носителю эти сведения о нем бесполезны. 

До появления поддержки нового метода аутентификации пользователи GitHub чаще всего применяли ключи RSA или ed25519. Сейчас они могут использовать также ecdsa-sk и ed25519-sk.

Преимущества метода

Представители GitHub уверены, что новый способ аутентификации лучше существовавших до этого, поэтому рекомендуют разработчикам отказаться от всех ранее зарегистрированных SSH-ключей в пользу SSH-ключей, поддерживающих токены безопасности. 

В репозитории сообщают, что лишь такой метод позволит гарантировать, что управление данными Git своих проектов по SSH доступно единственному пользователю – обладателю ключа безопасности FIDO2. Такой подход избавляет от необходимости контролировать все созданные ранее ключи SSH, потому что они окажутся бесполезны без физического доступа к токену безопасности, с которым они связаны.

Переход неизбежен

GitHub намерен полностью отказаться от аутентификации на сервисе при помощи пароля. Этот метод подтверждения личности будет заблокирован уже 13 августа 2021 года. Для доступа к своим проектам пользователи смогут использовать токены и SSH-ключи. Такие изменения нужны, чтобы защитить разработчиков от злоумышленников, использующих похищенные или взломанные пароли. 

Проблемы с безопасностью GitHub в 2019 году обнаружили ученые из университета штата Северная Каролина (NCSU). Они установили, что более чем 100 тыс. репозиториев хостинга стали жертвами утечки токенов API и криптографических ключей (SSH и TLS) после сканирования примерно 13% общедоступных репозиториев в течение полугода. Исследователи также заметили, что примерно из тысячи новых проектов ежедневно утекают данные аутентификации.


Автор:
Аналитик


В избранное Подписаться на ответы Сортировка: Дата
В этой теме еще нет сообщений.
Оставьте свое сообщение

См. также

Google назвала пять трендов машинного обучения в 2021 году

Новость Google Искусственный интеллект ИТ-новость

Google провела исследование, в котором озвучила ключевые направления развития индустрии машинного обучения (МО) в 2021 году. Компания ожидает в ближайшие годы научных прорывов в отрасли.

27.01.2022    20566    VKuser24342747    0       

Google посоветовала разработчикам адаптировать Android-приложения под Chrome OS

Новость ОС Android Google ИТ-новость

Google сообщила, что работает над крупным обновлением для Chrome OS, которое позволит более эффективно работать с Android-приложениями, поэтому разработчикам стоит задуматься над адаптацией своих программ.

28.12.2021    15008    VKuser24342747    0       

В Windows можно будет запускать Android-игры

Новость Windows Google ИТ-новость Мобильные приложения Новости компаний

На выставке The Game Awards компания Google заявила, что Android-игры придут в Windows на десктопе уже в 2022 году.

20.12.2021    14032    user1015646    0       

Google в два раза снизит комиссию на доход разработчиков от платных подписок

Новость Android Google ИТ-новость Мобильные приложения

Со следующего года Google изменит комиссию на прибыль от оформления платных подписок с 30% до 15%. Также компания снижает сборы с разработчиков приложений для стриминга электронных книг и музыки.

28.10.2021    13185    VKuser24342747    1       

В Google Play добавили новый раздел для разработчиков

Новость Android Google ИТ-новость Мобильные приложения Новости компаний

В мае Google объявил о новом требовании для Android-приложений, которые будут публиковаться в официальном магазине. Теперь для этого в Google Play Console появился соответствующий раздел Data safety (безопасность данных).

27.10.2021    22375    user1015646    1       

Google Chrome больше не сможет использовать протокол FTP

Новость Google Безопасность Интернет ИТ-новость

Разработчики браузерного движка Chromium к релизу Chrome 95 полностью отключили поддержку устаревшего протокола передачи файлов FTP. Другие браузеры отказались от него еще раньше.

27.10.2021    15683    VKuser24342747    1       

Депутаты Госдумы предложили Google и YouTube обсудить исполнение российских законов

Новость Google Законодательство ИТ-новость Новости компаний

Депутаты Госдумы пригласили Google и YouTube 25 октября в формате видеоконференции обсудить соблюдение российского законодательства. ИТ-компании приняли предложение.

19.10.2021    8697    VKuser24342747    9       

Google сказал «SOS»: интернет-гигант поддержит новую программу вознаграждений

Новость Google ИТ-новость

Компания Google объявила о поддержке пилотной программы вознаграждений за поиск уязвимостей в софте с открытым исходным кодом. Ее назвали SOS (Secure Open Source, безопасное открытое ПО).

15.10.2021    11214    user1015646    0       

С 2023 года Google Chrome переходит на платформу Manifest V3. Старые расширения перестанут работать

Новость Google Безопасность Интернет ИТ-новость

Google объявил о переходе на новую платформу для расширений в Chrome – Manifest v3. Разработчики расширений опасаются, что блокировщики рекламы не смогут работать с новой версией платформы.

04.10.2021    9553    SKravchenko    4       

Google добавила в Android Studio фреймворк Jetpack Compose

Новость Android Google ИТ-новость Мобильные приложения Новости компаний

Инструментарий Jetpack Compose предназначен для разработки Android-приложений с функцией предварительного просмотра развертывания. У поискового гиганта ушло два года на разработку этого решения.

10.08.2021    26949    VKuser24342747    1       

Google разработает новые требования к безопасности приложений в Play

Новость Google Безопасность ИТ-новость Мобильные приложения

Google намерена запустить в магазине Google Play раздел безопасности, где будут подробно перечислены сведения о разрешениях приложения. Из-за этого изменятся требования к разработчикам.

05.08.2021    24595    VKuser24342747    0       

Google сделает обязательной двухэтапную аутентификацию для аккаунтов разработчиков

Новость Google ИТ-новость Мобильные приложения

До конца года всем разработчикам мобильных приложений для продуктов Google нужно подключить двухэтапную аутентификацию. Также им придется пройти дополнительную верификацию личности. 

08.07.2021    16007    VKuser24342747    1       

Google установил новый обязательный формат для Android-приложений

Новость Google ИТ-новость Мобильные приложения Новости компаний

Компания Google объявила, что стандарт приложений Android App Bundle (AAB) станет обязательным в Play Store. Он заменит монолитный формат APK.

07.07.2021    20421    user1015646    0       

Новый фреймворк Google защитит от встраивания вредоносного кода 

Новость Google

Компания Google представила новый фреймворк SLSA. Он защитит ПО от внедрения вредоносного кода в процессе разработки. 

29.06.2021    13953    user1015646    0       

Google профинансирует добавление поддержки языка Rust в ядро Linux

Новость Linux Google ИТ-новость Новости компаний Языки программирования

Google заявила, что финансирует проект по повышению безопасности Linux, где часть ядра будет написана на языке программирования Rust. Усилия по модернизации могут повысить безопасность в сети и на устройствах.

28.06.2021    30917    SKravchenko    0       

Google использует ИИ для разработки следующего поколения ИИ-чипов

Новость Google Искусственный интеллект ИТ-новость Микроэлектроника

ИИ сможет сам проектировать микросхемы машинного обучения. Новый алгоритм Google делает это быстрее и эффективнее, чем люди. Подход планируют использовать для новой версии микросхем тензорного процессора Google, которые оптимизированы для вычислений ИИ.

22.06.2021    32395    SKravchenko    0       

Базовые функции Google Workspace стали доступны для бесплатных учетных записей

Новость Google ИТ-новость Новости компаний

14 июня Google разместила в своем блоге статью с информацией о том, что базовые функции Google Workspace становятся бесплатными.

18.06.2021    9289    capitan    5       

Google I/O 2021: главные анонсы конференции для разработчиков

Новость Android Google ИТ-новость Мобильные приложения Новости компаний

Начало лета богато на конференции для разработчиков программного обеспечения. Одно из крупнейших событий международного уровня – Google I/O 2021. В этом году оно прошло в онлайн-формате и принесло больше анонсов, чем обычно.

11.06.2021    117623    user1015646    0       

Google разработал сервис для наглядного отслеживания зависимостей проекта

Новость Google ИТ-новость

Инструмент Open Source Insights позволяет визуализировать граф зависимостей для пакетов. Благодаря сервису можно своевременно обнаруживать проблемы с безопасностью модулей.

09.06.2021    24034    VKuser24342747    0       

Google официально выпускает ОС Fuchsia для умных дисплеев Nest Hub

Новость Android Google ИТ-новость Мобильные приложения

Google сообщил, что обновление коснется владельцев первого поколения Nest Hub. Новая ОС Fuchsia заменит существующее программное обеспечение на основе Cast OS.

02.06.2021    41169    SKravchenko    0       

SpaceX разместит сервера Starlink в дата-центрах Google

Новость Google Дата-центры ИТ-новость Телекоммуникации

Компания SpaceX Илона Маска договорилась с Google о размещении своих серверов в дата-центрах корпорации. Техника нужна для работы проекта спутникового интернета Starlink.

20.05.2021    17615    user1015646    5       

Google позволит писать скрипты для оболочки Bash на JavaScript

Новость GitHub Google Автоматизация ИТ-новость

Американская поисковая система выпустила надстройку для упрощения использования Bash и Node.js. Благодаря пакету стало возможным писать скрипты для операционной системы на JavaScript.

20.05.2021    29011    VKuser24342747    0       

Да здравствует Logica: Google представил новый язык программирования

Новость Google ИТ-новость Языки программирования

Компания Google разработала новый язык для логического программирования – Logica. В его основе – наработки запущенного ранее проекта Yedalog и языка Datalog для программирования декларативной логики.

21.04.2021    29962    user1015646    8       

Google Database Migration Service стал доступен для всех

Новость MySQL PostgreSQL Google Интеграция Интернет ИТ-новость

Компания Google открыла всем пользователям бесплатный доступ к сервису Database Migration Service. Это позволит компаниям провести миграцию своих баз из MySQL. PostgreSQL и других платформ в облако Cloud SQL без выделения дополнительных ресурсов.

15.04.2021    62303    user1015646    0       

Google начала тестировать FLoC – технологию-убийцу cookies в Chrome

Новость Google Безопасность Интернет ИТ-новость

Google продолжает разрабатывать альтернативу cookie-файлам. Поисковый гигант уже приступил к тестированию технологии, позволяющей хранить данные о пользователе браузера в обезличенном виде.

06.04.2021    27225    VKuser24342747    0