GitHub gaat tweefactorauthenticatie verplichten voor alle ontwikkelaars die code bijdragen aan een project op het platform. Met deze stap wil eigenaar Microsoft de softwaretoeleveringsketen versterken.
In mei vorig jaar gaf het GitHub nog aan dat 2FA tegen eind 2023 verplicht zou zijn. In werkelijkheid begon het proces een stuk eerder. Zo werd de regeling afgelopen jaar al verplicht voor de honderd grootste pakketten en andere zogenaamde ‘high impact’ GitHub-gebruikers. Dit zijn de pakketten met meer dan een miljoen wekelijkse downloads.
Met zo’n 100 miljoen ontwikkelaars is GitHub een belangrijk onderdeel van de wereldwijde software-toeleveringsketen. Als een aanvaller erin slaagt om in te breken in het account van een softwareontwikkelaar, krijgt hij mogelijk toegang tot alle apparaten waarop de code van de ontwikkelaar draait. Doordat GitHub zo wijdverspreid is, kan een inbreuk op een ontwikkelaarsaccount een enorm aanvalsoppervlak hebben.
Focus op veiligheid na spraakmakende aanvallen
Na een golf van spraakmakende aanvallen in de afgelopen jaren, zoals de SolarWinds inbreuk in 2020, staat de veiligheid van software wereldwijd hoog op de politieke agenda’s. Dit heeft ertoe geleid dat softwareontwikkelingsbedrijven zoals GitHub meer eisen stellen aan hun gebruikers.
Net als GitHub hebben ook andere platformen vergelijkbare regels ingevoerd. Zo eist RubyGems sinds afgelopen augustus multifactor-authenticatie voor bezitters van gems (pakketten) met meer dan 180 miljoen downloads. Ook de Python Packaging Index maakte tweefactorauthenticatie vorig jaar verplicht voor elk project in de top één procent van de downloads.
Voor wie wordt tweefactorauthenticatie verplicht?
Het nieuwe beleid van GitHub wordt geleidelijk uitgerold. Ontwikkelaars die regelmatig code bijdragen worden als eerste opgeroepen om hun account te beschermen. Accounts die aan de beurt zijn om 2FA in te stellen, worden daarvan per e-mail op de hoogte gesteld. Vervolgens krijgen zij 45 dagen de tijd om hun account te beveiligen.
GitHub geeft geen specifieke criteria voor welke gebruikers als eerste tweefactorauthenticatie moeten inschakelen. Volgens The Register moeten de volgende typen gebruikers in de komende maanden hun account extra gaan beveiligen:
- Gebruikers die GitHub- of Oauth apps, acties of pakketten hebben gepubliceerd
- Gebruikers die een release hebben gemaakt
- Gebruikers die Enterprise- en Organization-beheerders zijn
- Gebruikers die code hebben bijgedragen aan repositories die als kritiek worden beschouwd door npm, OpenSFF, PyPI of RubyGems
- Gebruikers die code hebben bijgedragen aan de geschatte top vier miljoen openbare en privé-repositories
Nadat de 45 dagen om zijn, moeten account-eigenaren 2FA instellen om toegang te krijgen tot het platform. GitHub-gebruikers krijgen heel wat keuze uit methoden om hun account te beveiligen, zoals TOTP, SMS, beveiligingssleutels of GitHub Mobile. Ook is het mogelijk om nog een extra authenticatiemethode toe te voegen, om een account nog beter te beschermen.