GitHub ogłosił publiczną wersję beta uwierzytelniania passkey, oferując większą elastyczność w sposobie uwierzytelniania deweloperów na platformie. Jak poinformowała firma, włączenie tej opcji umożliwia deweloperom uaktualnienie kluczy bezpieczeństwa do kluczy passkey i używanie ich zamiast haseł i metod uwierzytelniania 2FA. Posunięcie to jest najnowszym krokiem GitHub w kierunku przyszłości bez haseł po tym, jak w maju ubiegłego roku ogłosił nowe wymagania 2FA dla wszystkich współtwórców kodu.

Passkeys są uważane za nowoczesną alternatywę dla haseł i są generalnie bezpieczniejsze i łatwiejsze w użyciu. Są one stale przyjmowane przez firmy technologiczne i przedsiębiorstwa, aby pomóc podnieść poprzeczkę bezpieczeństwa uwierzytelniania i zakończyć nadmierne poleganie na hasłach, co jest główną przyczyną większości naruszeń danych. W maju Google rozpoczęło wdrażanie obsługi kluczy dostępu na kontach Google na wszystkich głównych platformach. W ubiegłym roku kilku gigantów technologicznych ogłosiło wsparcie dla wspólnego standardu logowania bez hasła, stworzonego przez FIDO Alliance i World Wide Web Consortium.

Zobacz również:

• GitHub prezentuje funkcję wykorzystującą AI, która automatycznie skanuje i naprawia kod aplikacji

Hasła są główną przyczyną naruszeń bezpieczeństwa danych

Większość naruszeń bezpieczeństwa nie jest wynikiem ataków zero-day, ale raczej tańszych ataków, takich jak inżynieria społeczna, kradzież danych uwierzytelniających lub wyciek, które zapewniają atakującym szeroki zakres dostępu do kont ofiar i zasobów, do których mają dostęp, napisał na blogu Hirsch Singhal, staff product manager w GitHub. „W rzeczywistości hasła, na których wszyscy polegamy, są główną przyczyną ponad 80% naruszeń danych”.

Passkeys opierają się na pracy tradycyjnych kluczy bezpieczeństwa, dodając łatwiejszą konfigurację i zwiększoną możliwość odzyskiwania, zapewniając bezpieczną, prywatną i łatwą w użyciu metodę ochrony kont przy jednoczesnym zminimalizowaniu ryzyka blokady konta, dodał Singhal. „Najlepsze jest to, że passkeys przybliżają nas do realizacji wizji uwierzytelniania bezhasłowego - pomagając całkowicie wyeliminować naruszenia oparte na hasłach”.

Passkeys na GitHub wymagają weryfikacji użytkownika, co oznacza, że liczą się jako dwa czynniki w jednym, napisał Singhal - coś, czym jesteś lub wiesz (odcisk kciuka, twarz lub znajomość kodu PIN) i coś, co masz (fizyczny klucz bezpieczeństwa lub urządzenie). Klucze dostępu mogą być używane na różnych urządzeniach poprzez weryfikację obecności telefonu, a niektóre z nich mogą być również synchronizowane między urządzeniami, aby zapewnić, że użytkownicy nigdy nie zostaną zablokowani na swoim koncie z powodu utraty klucza. Ochrona kont deweloperów kluczem do zabezpieczenia łańcucha dostaw oprogramowania.

„Konta deweloperów są częstym celem inżynierii społecznej i przejęcia konta (ATO), a ochrona deweloperów przed tego typu atakami jest pierwszym i najbardziej krytycznym krokiem w kierunku zabezpieczenia łańcucha dostaw”, mówi Singhal w rozmowie z CSO. Passkeys oferują najsilniejsze połączenie bezpieczeństwa i niezawodności oraz sprawiają, że konta deweloperów są znacznie bezpieczniejsze bez narażania dostępu, co pozostaje problemem w przypadku innych metod 2FA, takich jak SMS, TOTP i istniejących kluczy bezpieczeństwa dla pojedynczego urządzenia, mówi. „Zwiększone bezpieczeństwo kluczy dostępu zapobiega kradzieży haseł i ATO, eliminując potrzebę stosowania haseł”.

Źródło: CSO