GitHub roept gebruikers op om tweefactorauthenticatie in te schakelen

[Captain Kirk]

Het populaire platform voor softwareontwikkelaars GitHub heeft gebruikers opgeroepen om tweefactorauthenticatie (2FA) voor hun account in te schakelen. "Als je het nog niet hebt gedaan, schakel dan nu 2FA voor je GitHub-account in. De voordelen van multifactorauthenticatie zijn uitvoerig beschreven en beschermen tegen allerlei aanvallen, zoals phishing", zegt Mike Hanley, Chief Security Officer van GitHub, in een blogposting.

GitHub ondersteunt verschillende 2FA-opties, waaronder fysieke beveiligingssleutels, virtuele beveiligingssleutels in laptops en telefoons die WebAuth ondersteunen, Time-based One-Time Password (TOTP) authenticator-apps en sms. "Hoewel sms als optie beschikbaar is, adviseren we ten zeerste het gebruik van beveiligingssleutels of TOTP's waar mogelijk. Sms-gebaseerde 2FA biedt niet dezelfde bescherming, en wordt niet langer aanbevolen onder NIST 800-63B", merkt Hanley op.

Volgens de CSO zijn de beste 2FA-opties diegene die de WebAuthn-standaard ondersteunen, waaronder fysieke beveiligingssleutels en apparaten die technologieën zoals Windows Hello of Face ID/Touch ID ondersteunen. Onlangs besloot GitHub al om geen accountwachtwoorden meer te accepteren voor het authenticeren van Git-operaties op GitHub.com. In plaats daarvan wordt alleen nog token-gebaseerde authenticatie geaccepteerd.

Ondanks de beveiligingsvoordelen van 2FA liet Twitter onlangs nog weten dat slechts 2,3 procent van alle gebruikers de optie heeft ingeschakeld.

 

bron: https://www.security.nl