GitHub recommande aux utilisateurs d’activer 2FA après s’être Débarrassé des mots de passe

0

GitHub recommande à ses utilisateurs d’activer l’authentification à deux facteurs (2FA) après avoir abandonné l’authentification par mot de passe pour les opérations Git.

« Si vous ne l’avez pas déjà fait, veuillez profiter de ce moment pour activer 2FA pour votre compte GitHub », a déclaré Mike Hanley, responsable de la sécurité de l’entreprise.

« Les avantages de l’authentification multifacteur sont largement documentés et protègent contre un large éventail d’attaques, telles que le phishing(hameçonnage). »

Hanley recommande d’utiliser l’une des nombreuses options 2FA disponibles sur GitHub, y compris les clés de sécurité physiques, les clés de sécurité virtuelles intégrées aux appareils tels que les téléphones et les ordinateurs portables, ou les applications d’authentification de mot de passe unique basé sur le temps (TOTP).

Bien que le 2FA basé sur SMS soit également disponible, GitHub recommande aux utilisateurs de choisir des clés de sécurité ou des TOTP dans la mesure du possible, car le SMS est moins sécurisé étant donné que les acteurs malveillants peuvent contourner ou voler les jetons d’authentification 2FA envoyés par SMS.

GitHub fournit également un guide vidéo étape par étape sur la façon dont vous pouvez activer votre clé de sécurité pour les clés SSH et la vérification des commits Git.

Pourquoi 2FA est-il important ?

L’application de l’authentification sans mot de passe via les opérations Git est importante car elle augmente la résilience des comptes GitHub contre les tentatives de prise de contrôle en empêchant les attaquants d’utiliser des informations d’identification volées ou des mots de passe réutilisés pour pirater des comptes.

Comme Alex Weinert, directeur de la sécurité des identités de Microsoft, l’a déclaré il y a quelques années, « votre mot de passe n’a pas d’importance, mais MFA si ! D’après nos études, votre compte est plus de 99,9% moins susceptible d’être compromis si vous utilisez MFA. »

Weinert a également ajouté que « l’utilisation de quoi que ce soit au-delà du mot de passe augmente considérablement les coûts pour les attaquants, c’est pourquoi le taux de compromission des comptes utilisant tout type de MFA est inférieur à 0,1% de la population générale ».

Les chercheurs de Google ont également commenté que « le simple ajout d’un numéro de téléphone de récupération à votre compte Google peut bloquer jusqu’à 100% des robots automatisés, 99% des attaques de phishing en masse et 66% des attaques ciblées ».

Dans le même temps, « aucun utilisateur utilisant exclusivement des clés de sécurité n’a été victime d’hameçonnage ciblé ».

Les efforts de GitHub pour sécuriser les comptes des utilisateurs

GitHub a rappelé aux utilisateurs que les mots de passe des comptes ne seront plus acceptés pour l’authentification des opérations Git à partir du 13 août.

Le changement a été annoncé pour la première fois en juillet 2020 lorsque GitHub a déclaré que les opérations Git authentifiées nécessiteraient l’utilisation d’une clé SSH ou d’une authentification basée sur des jetons.

GitHub a également désactivé l’authentification par mot de passe via l’API REST en Novembre 2020 et a ajouté la prise en charge de la sécurisation des opérations SSH Git à l’aide des clés de sécurité FIDO2 en Mai 2021.

La sécurité des comptes a également été améliorée au fil des ans en ajoutant une authentification à deux facteurs, des alertes de connexion, des appareils vérifiés, le blocage de l’utilisation de mots de passe compromis et la prise en charge de WebAuthn.

Laisser un commentaire