GitHub
11.08.2020, 09:24 Uhr
Strengere Sicherheitsanforderungen für API- und Git-Operationen
Ab dem 13. November 2020 treten bei GitHub strengere Authentifizierungsanforderungen in Kraft. Die Anmeldung per REST-API mit dem Kontopasswort wird dann nicht mehr akzeptiert.
Ben Balter, Produktmanager bei GitHub, hat angekündigt, dass GitHub ab dem 13. November 2020 bei der Authentifizierung mit dem REST-API keine Kontopasswörter mehr akzeptiert und für alle authentifizierten API-Operationen auf GitHub.com die Verwendung einer Token-basierten Authentifizierung (zum Beispiel ein persönliches Zugangs-, OAuth- oder GitHub-App-Installationstoken) verlangen wird. Darüber hat Ben Balter die Absicht von GitHub bekanntgemacht, zu einem späteren Zeitpunkt für alle authentifizierten Git-Operationen in ähnlicher Weise die Verwendung eines Token für den persönlichen Zugang, eines OAuth-Token oder eines SSH-Schlüssels zu verlangen. Entwickler, die für ihr Konto bereits die Zwei-Faktor-Authentifizierung aktiviert haben, sind von den zukünftigen Änderungen an der Git-Authentifizierung nicht betroffen. Der GitHub Enterprise Server ist laut Balter zu diesem Zeitpunkt nicht betroffen. Ebenso verlangen GitHub Apps keine Kennwortauthentifizierung und sind ebenfalls nicht von diesen Änderungen betroffen.
Der Hintergrund der Änderungen: In den letzten Jahren konnten GitHub-Kunden von einer Reihe von Sicherheitsverbesserungen auf GitHub.com profitieren, wie zum Beispiel Zwei-Faktor-Authentifizierung, Anmeldewarnungen, verifizierte Geräte, Verhinderung der Verwendung kompromittierter Kennwörter und Unterstützung von WebAuthn. Diese Funktionen erschweren es einem Angreifer, ein Passwort, das auf mehreren Websites wiederverwendet wurde, zu nehmen und damit zu versuchen, Zugang zu einem GitHub-Konto zu erlangen. Trotz dieser Verbesserungen konnten Kunden ohne aktivierte Zwei-Faktor-Authentifizierung aus historischen Gründen Git- und API-Operationen weiterhin nur mit ihrem GitHub-Benutzernamen und Kennwort authentifizieren.
Ab dem 13. November 2020 wird GitHub bei der Authentifizierung über das REST API keine Kontopasswörter mehr akzeptieren und für alle authentifizierten API-Operationen auf GitHub.com die Verwendung einer token-basierten Authentifizierung wie ein persönliches Zugriffstoken (für Entwickler) oder ein OAuth- oder GitHub App-Installationstoken (für Integratoren) verlangen.
Weitere Informationen finden Sie in diesem Blog-Beitrag von Ben Balter sowie in der GitHub-Anleitung Keeping your account and data secure.