Für API- und Git-Operationen 14.08.2020, 15:55 Uhr

GitHub verschärft Sicherheits-Anforderungen

Ab dem 13. November 2020 treten bei GitHub strengere Authentifizierungsanforderungen in Kraft. Die Anmeldung per REST-API mit dem Kontopasswort wird dann nicht mehr akzeptiert.
(Quelle: github.com / security)
Mehr Sicherheit: Ben Balter, Produktmanager bei GitHub, hat angekündigt, dass GitHub ab dem 13. November 2020 bei der Authentifizierung mit dem REST-API keine Kontopasswörter mehr akzeptiert und für alle authentifizierten API-Operationen auf GitHub.com die Verwendung einer Token-basierten Authentifizierung (zum Beispiel ein persönliches Zugangs-, OAuth- oder GitHub-App-Installationstoken) verlangen wird.
Darüber hat Ben Balter die Absicht von GitHub bekannt gemacht, zu einem späteren Zeitpunkt für alle authentifizierten Git-Operationen in ähnlicher Weise die Verwendung eines Token für den persönlichen Zugang, eines OAuth-Token oder eines SSH-Schlüssels zu verlangen. Entwickler, die für ihr Konto bereits die Zwei-Faktor-Authentifizierung aktiviert haben, sind von den zukünftigen Änderungen an der Git-Authentifizierung nicht betroffen. Der GitHub Enterprise Server ist laut Balter zu diesem Zeitpunkt nicht betroffen. Ebenso verlangen GitHub Apps keine Kennwortauthentifizierung und sind ebenfalls nicht von diesen Änderungen betroffen.
Der Hintergrund der Änderungen: In den vergangenen Jahren konnten GitHub-Kunden von einer Reihe von Sicherheitsverbesserungen auf GitHub.com profitieren, wie zum Beispiel Zwei-Faktor-Authentifizierung, Anmeldewarnungen, verifizierte Geräte, Verhinderung der Verwendung kompromittierter Kennwörter und Unterstützung von WebAuthn. Diese Funktionen erschweren es einem Angreifer, ein Passwort, das auf mehreren Websites wiederverwendet wurde, zu nehmen und damit zu versuchen, Zugang zu einem GitHub-Konto zu erlangen. Trotz dieser Verbesserungen konnten Kunden ohne aktivierte Zwei-Faktor-Authentifizierung aus historischen Gründen Git- und API-Operationen weiterhin nur mit ihrem GitHub-Benutzernamen und Kennwort authentifizieren.
Ab dem 13. November 2020 wird GitHub bei der Authentifizierung über das REST API ebenfalls keine Kontopasswörter mehr akzeptieren und für alle authentifizierten API-Operationen auf GitHub.com die Verwendung einer token-basierten Authentifizierung wie ein persönliches Zugriffstoken (für Entwickler) oder ein OAuth- oder GitHub App-Installationstoken (für Integratoren) verlangen.
Weitere Informationen liefert Ben Balter in seinem Blog-Beitrag sowie in der GitHub-Anleitung Keeping your account and data secure.

Bernhard Lauer
Autor(in) Bernhard Lauer



Das könnte Sie auch interessieren