GitHub n'accepte plus les mots de passe pour l'authentification Git, les clefs SSH, OAut, jeton d'installation de GitHub App, ou une clef de sécurité matérielle, telle que YubiKey sont désormais exigéesGitHub a toujours été partisan d'une sécurité renforcée pour ses clients et ses communautés de développeurs. De sa prise en charge la plus récente de l'utilisation des clefs de sécurité U2F et FIDO2 pour SSH, à l'annonce en 2019 de la prise en charge de l'authentification Web (WebAuthn) pour les clefs de sécurité et de la prise en charge du second facteur universel (U2F) en 2015, l'entreprise a continué à donner à ses millions de clients la possibilité de protéger leurs comptes et leurs projets grâce à l'utilisation de l'authentification YubiKey basée sur le matériel.
Cependant, GitHub a annoncé qu'à partir du 13 août 2021, il n'acceptera plus les mots de passe des comptes d'authentification Git lors de l'authentification des opérations CLI Git et exigera l'utilisation de références d'authentification plus fortes pour toutes les opérations Git authentifiées sur GitHub.com. Cela inclut les clefs SSH (pour les développeurs), OAuth ou le jeton d'installation de GitHub App (pour les intégrateurs), ou une clef de sécurité matérielle, telle qu'une YubiKey.
Cette annonce s'accompagne également de la poursuite du partenariat entre Yubico et GitHub - ainsi que des YubiKeys en édition limitée à la marque GitHub. Les utilisateurs de GitHub peuvent sécuriser leurs Commits Git en utilisant une clef GPG stockée sur leur YubiKey. C'est un moyen fondamental de s'assurer que les contributions open source sont faites par les bons utilisateurs dans les communautés de développeurs ou les organisations.
FIDO2, WebAuthn et l'authentification sans mot de passe connaissent une forte impulsion - plus de la moitié (61 %) des organisations interrogées dans un récent rapport de 451 Research et Yubico ont, soit déployé, soit piloté l'authentification sans mot de passe (34 % des répondants ont déjà déployé la technologie sans mot de passe, 27 % la pilotent). GitHub contribue à la réalisation de cet avenir pour ces organisations en prenant en charge FIDO2 et en s'orientant vers un avenir sans mot de passe pour résoudre les problèmes traditionnels de MFA.
Mais toutes les formes de MFA ne sont pas égales lorsqu'il s'agit de soutenir les organisations dans leur transition vers le sans mot de passe. Les YubiKeys sont conçues pour s'adapter et évoluer avec l'infrastructure de sécurité et peuvent être déployées dans des environnements sans mot de passe (avec les partenaires IAM) sous la forme d'une carte à puce ou d'une clef de sécurité FIDO2, par exemple.
Source : Yubico
Et vous ?
Que pensez-vous de cette décision de GitHub ? Que pensez-vous de la sécurisation sans mot de passe ?Voir aussi :
Yubico et Microsoft annoncent la disponibilité générale d'une connexion sans mot de passe pour tous les utilisateurs d'Azure Active Directory (Azure AD), grâce à la Yubikey avec le protocole FIDO2 Yubico lance la série YubiKey 5 FIPS, les premières clefs de sécurité multi-protocoles validées FIPS 140-2 du marché permettant une authentification sans mot de passe Microsoft prévoit de mettre fin au mot de passe en 2021 pour s'appuyer sur de nouvelles méthodes d'authentification comme Windows Hello, Microsoft Authenticator et la biométrie
Vous avez lu gratuitement 10 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.