GitHub начал поддерживать использование ключей безопасности SSH

12.05.2021      23175

Пользователи GitHub смогут подтверждать вход в аккаунт при помощи портативных устройств, которые используют протокол FIDO2. Репозиторий предлагает всем разработчикам перейти на такой метод аутентификации. 

Новая процедура

Поддержка ключей безопасности для аутентификации по протоколу SSH стала доступна на хостинге ИТ-проектов GitHub 10 мая. Новая возможность обеспечит повышенную защиту от попыток перехвата учетной записи и предотвратит случайное раскрытие секретного ключа.

Разработчикам для доступа к данным, хранящимся в репозитории, по-прежнему необходимо сгенерировать пару из открытого и закрытого ключей. Важное отличие – генерация и хранение секретных битов в ключе безопасности FIDO2, открытая часть которого будет находиться на компьютере пользователя, подобно любым другим открытым ключам SSH. При этом часть закрытого ключа также расположена на устройстве разработчика, но она будет только ссылкой на физический ключ безопасности. Без доступа к носителю эти сведения о нем бесполезны. 

До появления поддержки нового метода аутентификации пользователи GitHub чаще всего применяли ключи RSA или ed25519. Сейчас они могут использовать также ecdsa-sk и ed25519-sk.

Преимущества метода

Представители GitHub уверены, что новый способ аутентификации лучше существовавших до этого, поэтому рекомендуют разработчикам отказаться от всех ранее зарегистрированных SSH-ключей в пользу SSH-ключей, поддерживающих токены безопасности. 

В репозитории сообщают, что лишь такой метод позволит гарантировать, что управление данными Git своих проектов по SSH доступно единственному пользователю – обладателю ключа безопасности FIDO2. Такой подход избавляет от необходимости контролировать все созданные ранее ключи SSH, потому что они окажутся бесполезны без физического доступа к токену безопасности, с которым они связаны.

Переход неизбежен

GitHub намерен полностью отказаться от аутентификации на сервисе при помощи пароля. Этот метод подтверждения личности будет заблокирован уже 13 августа 2021 года. Для доступа к своим проектам пользователи смогут использовать токены и SSH-ключи. Такие изменения нужны, чтобы защитить разработчиков от злоумышленников, использующих похищенные или взломанные пароли. 

Проблемы с безопасностью GitHub в 2019 году обнаружили ученые из университета штата Северная Каролина (NCSU). Они установили, что более чем 100 тыс. репозиториев хостинга стали жертвами утечки токенов API и криптографических ключей (SSH и TLS) после сканирования примерно 13% общедоступных репозиториев в течение полугода. Исследователи также заметили, что примерно из тысячи новых проектов ежедневно утекают данные аутентификации.


Автор:
Аналитик


В избранное Подписаться на ответы Сортировка: Дата
В этой теме еще нет сообщений.
Оставьте свое сообщение

См. также

Visa разработала способ превратить почти любое устройство в POS-терминал

Новость ИТ-новость Новости компаний Онлайн-торговля

Visa запустила платформу, которая позволяет большинству популярных устройств подключаться к облаку и функционировать как платежный терминал. Решение уже доступно для тестирования в шести регионах.

21.01.2022    9433    VKuser24342747    0       

Microsoft разрешит сторонние платежные системы в своем магазине

Новость Windows ИТ-новость Новости компаний Онлайн-торговля

Microsoft готовит перезапуск собственного магазина приложений Microsoft Store. Релиз будет представлен вместе со следующим крупным обновлением Windows и сделает требования для программ в маркетплейсе мягче.

26.04.2021    19941    VKuser24342747    0       

Платежная система Visa разрешит платежи в криптовалюте

Новость Безопасность Блокчейн ИТ-новость Онлайн-торговля

Крупнейшие поставщики платежных услуг для банковских карт выходят на криптовалютный рынок. Visa вслед за Mastercard сообщила, что начнет поддерживать транзакции в цифровых токенах.

02.04.2021    18747    VKuser24342747    1       

Facebook купила сервис для создания чат-ботов Kustomer

Новость ИТ-новость Мессенджеры Новости компаний Онлайн-торговля

30 ноября Facebook заявил о покупке стартапа Kustomer, который специализируется на платформах обслуживания клиентов и чат-ботах. Таким образом, зарегистрированные на Facebook компании, получат новые инструменты для ведения бизнеса с помощью платформы

09.12.2020    24194    SKravchenko    0       

В следующем году Google откажется от платных расширений для браузера Chrome

Новость Google Интернет ИТ-новость Новости компаний Онлайн-торговля

Полгода назад Google приостановил добавление новых платных расширений в интернет-магазин Chrome после выявленных фактов мошенничества. А на днях представители компании заявили, что платежная система Chrome Web Store устарела и будет закрыта.

29.09.2020    17059    SKravchenko    0       

В России стали тестировать платежи через СПБ на смартфонах без NFC

Новость Банки ИТ-новость Онлайн-торговля

Российские банки стали внедрять пилотные проекты, которые расширят возможности использования Системы быстрых платежей (СБП). Технология превращает в платежный терминал любой смартфон, в том числе старые модели без NFC.

27.08.2020    13287    user1015646    0       

Не выходя из приложения: Instagram тестирует новый формат покупок

Новость Онлайн-торговля Соцсети

Разработчики Instagram тестируют новую функцию Checkout. Она позволит совершать покупки непосредственно в приложении – без перехода на сайт магазина.

27.03.2019    15061    user1015646    3       

В сетях крупных ритейлеров нашли подделки новейших процессоров

Новость Онлайн-торговля

В Германии разгорелся скандал из-за поддельных процессоров Intel. Дорогие и бесполезные устройства покупатели приобретали у крупных ритейлеров. В последнем случае продавцом выступил Amazon.

20.03.2019    30801    user971588    4       

РЖД запустит агрегатор для продажи билетов – и на поезда, и на автобусы

Новость Онлайн-торговля

ОАО РЖД создаст универсальный сервис – билетный агрегатор. На платформе будут представлены не только билеты на поезд, но и на автобус.

14.03.2019    26537    user1015646    0       

В Alibaba научили речевой алгоритм изолировать голоса в шумной толпе

Новость Искусственный интеллект Онлайн-торговля Робототехника

Китайский конгломерат Alibaba все чаще обращает свое внимание на искусственный интеллект. На конференции NeurIPS 2018 в Монреале они представили презентацию о своих достижениях в прикладном использовании ИИ.

07.12.2018    26616    SKravchenko    0       

Резидент фонда «Сколково» запустит российский аналог Google Pay

Новость Банки Мобильные приложения Онлайн-торговля

Разработчики обещают пользователям, что сервис бесконтактной оплаты «Кошелек Pay» получит более расширенный функционал по сравнению с зарубежными приложениями.

25.10.2018    29171    Sherlock2850    9