GitHub оголосив про публічну бета-версію автентифікації за допомогою ключа, яка пропонує більшу гнучкість у способах автентифікації розробників на платформі. Як оголосила компанія, включення цієї опції дозволяє розробникам оновити свої ключі безпеки до passkey і використовувати їх замість паролів і методів 2FA-автентифікації. Цей крок є останнім кроком GitHub на шляху до майбутнього без паролів після того, як у травні минулого року компанія оголосила про нові вимоги 2FA для всіх авторів коду.
Рекомендуємо прочитати: У США штучний інтелект провів весілля
Пасс-ключі вважаються сучасною альтернативою паролям і, як правило, є більш безпечними та простими у використанні. Вони постійно впроваджуються технологічними компаніями та підприємствами, щоб допомогти підняти планку безпеки автентифікації та покласти край надмірній залежності від паролів, яка є першопричиною більшості витоків даних. У травні компанія Google почала розгортати основну підтримку облікових записів Google на всіх основних платформах. Минулого року кілька технологічних гігантів оголосили про підтримку загального стандарту безпарольного входу, створеного Альянсом FIDO і Консорціумом Всесвітньої павутини.
Паролі – основна причина порушень безпеки даних
Більшість порушень безпеки є результатом не атак "нульового дня", а більш дешевих атак, таких як соціальна інженерія, крадіжка облікових даних або витоки, які надають зловмисникам широкий доступ до облікових записів жертв і ресурсів, до яких вони мають доступ, написав у своєму блозі Хірш Сінгхал (Hirsch Singhal), штатний менеджер по продуктах GitHub. "Насправді, паролі, на які ми всі покладаємося, є першопричиною більш ніж 80% витоків даних".
Сінгхал додав, що паролі засновані на принципах роботи традиційних ключів безпеки, додаючи до них більш просту конфігурацію і підвищену відновлюваність, забезпечуючи безпечний, приватний і простий у використанні метод захисту облікових записів, мінімізуючи при цьому ризик блокування облікового запису. "Найкраще те, що паролі наближають нас до реалізації концепції безпарольної автентифікації, допомагаючи повністю унеможливити зломи, пов'язані з використанням паролів", – додав Сінгхал.
Ключі доступу на GitHub вимагають верифікації користувача, а це означає, що вони враховують два фактори в одному, пише Сінгхал – те, ким ви є або що ви знаєте (відбиток великого пальця, обличчя або знання PIN-коду), і те, що у вас є (фізичний ключ безпеки або пристрій). Ключі доступу можна використовувати на різних пристроях, підтверджуючи наявність телефону, а деякі з них можна синхронізувати між пристроями, щоб користувачі ніколи не були заблоковані у своєму обліковому записі через втрату ключа. Захист облікових записів розробників – ключ до захисту ланцюжка постачання програмного забезпечення.
"Облікові записи розробників є поширеною мішенню для соціальної інженерії та захоплення облікових записів (ATO), і захист розробників від цих типів атак є першим і найважливішим кроком на шляху до захисту ланцюжка поставок", – розповідає Сінгхал в інтерв'ю CSO. За його словами, ключі доступу пропонують найсильніше поєднання безпеки та надійності і роблять акаунти розробників набагато більш захищеними без шкоди для доступу, що залишається проблемою для інших методів 2FA, таких як SMS, TOTP та існуючі ключі безпеки для одного пристрою. "Підвищена безпека ключів доступу запобігає крадіжці паролів і ATO, усуваючи потребу в паролях".
