GitHub объявил о публичной бета-версии аутентификации с помощью ключа, которая предлагает большую гибкость в способах аутентификации разработчиков на платформе. Как объявила компания, включение этой опции позволяет разработчикам обновить свои ключи безопасности до passkey и использовать их вместо паролей и методов 2FA-аутентификации. Этот шаг является последним шагом GitHub на пути к будущему без паролей после того, как в мае прошлого года компания объявила о новых требованиях 2FA для всех авторов кода.
Рекомендуем прочитать: Google разрабатывает свой первый полностью собственный мобильный процессор
Пасс-ключи считаются современной альтернативой паролям и, как правило, являются более безопасными и простыми в использовании. Они постоянно внедряются технологическими компаниями и предприятиями, чтобы помочь поднять планку безопасности аутентификации и положить конец чрезмерной зависимости от паролей, которая является первопричиной большинства утечек данных. В мае компания Google начала разворачивать основную поддержку учетных записей Google на всех основных платформах. В прошлом году несколько технологических гигантов объявили о поддержке общего стандарта беспарольного входа, созданного Альянсом FIDO и Консорциумом Всемирной паутины.
Пароли – основная причина нарушений безопасности данных
Большинство нарушений безопасности является результатом не атак "нулевого дня", а более дешевых атак, таких как социальная инженерия, кража учетных данных или утечки, которые предоставляют злоумышленникам широкий доступ к учетным записям жертв и ресурсам, к которым они имеют доступ, написал в своем блоге Хирш Сингхал (Hirsch Singhal), штатный менеджер по продуктам GitHub. "На самом деле, пароли, на которые мы все полагаемся, являются первопричиной более чем 80% утечек данных".
Сингхал добавил, что пароли основаны на принципах работы традиционных ключей безопасности, добавляя к ним более простую конфигурацию и повышенную восстанавливаемость, обеспечивая безопасный, приватный и простой в использовании метод защиты учетных записей, минимизируя при этом риск блокировки учетной записи. "Самое лучшее то, что пароли приближают нас к реализации концепции беспарольной аутентификации, помогая полностью исключить взломы, связанные с использованием паролей", – добавил Сингхал.
Ключи доступа на GitHub требуют верификации пользователя, а это означает, что они учитывают два фактора в одном, пишет Сингхал – то, кем вы являетесь или что вы знаете (отпечаток большого пальца, лицо или знание PIN-кода), и то, что у вас есть (физический ключ безопасности или устройство). Ключи доступа можно использовать на разных устройствах, подтверждая наличие телефона, а некоторые из них можно синхронизировать между устройствами, чтобы пользователи никогда не были заблокированы в своей учетной записи из-за потери ключа. Защита учетных записей разработчиков – ключ к защите цепочки поставок программного обеспечения.
"Учетные записи разработчиков являются распространенной мишенью для социальной инженерии и захвата учетных записей (ATO), и защита разработчиков от этих типов атак является первым и самым важным шагом на пути к защите цепочки поставок", – рассказывает Сингхал в интервью CSO. По его словам, ключи доступа предлагают самое сильное сочетание безопасности и надежности и делают аккаунты разработчиков гораздо более защищенными без ущерба для доступа, что остается проблемой для других методов 2FA, таких как SMS, TOTP и существующие ключи безопасности для одного устройства. "Повышенная безопасность ключей доступа предотвращает кражу паролей и ATO, устраняя потребность в паролях".
