Microsoft geeft hackers minder mogelijkheden met gestolen inloggegevens. Hiertoe brengt het een persoonlijke toegangstoken naar Azure DevOps REST API’s.
De druk voor Microsoft om de beveiliging van GitHub te verbeteren werd vorige week flink opgevoerd. De cyberbeveiligingsspecialist Praetorian bracht toen aan het licht dat het mogelijk is om binnen te breken in interne bedrijfsnetwerking via de CI/CD-tools van GitHub.
Persoonlijke toegangstokens (personal access token of PAT) zijn volgens de onderzoekers ‘een stap in de juiste richting’. Het gaat om een alternatief voor wachtwoorden dat informatie bevat over de gebruiker, de organisatie en de persmissies.
lees ook
Microsoft vervolgd voor diefstal opensource-code via GitHub Copilot
Oppassen met phishing
Een PAT verzekert geen veilige toegang. Voorzichtigheid van de ontwikkelaar is dan ook nog steeds op zijn plaats. Een PAT kan namelijk achterhaald worden met phishing of via inbraak op de laptop.
Organisaties die overstappen op persoonlijke toegangstokens denken best ook na over welke permissies een ontwikkelaar nodig heeft. “Als u momenteel een PAT met volledig bereik gebruikt om te verifiëren bij een van de Azure DevOps REST API’s, kunt u overwegen te migreren naar een PAT met het specifieke bereik dat door de API wordt geaccepteerd om onnodige toegang te voorkomen”, benadrukt Barry Wolfson, PM van Azure DevOps, in een blog.