image

GitHub roept gebruikers op om tweefactorauthenticatie in te schakelen

donderdag 19 augustus 2021, 10:52 door Redactie, 4 reacties

Het populaire platform voor softwareontwikkelaars GitHub heeft gebruikers opgeroepen om tweefactorauthenticatie (2FA) voor hun account in te schakelen. "Als je het nog niet hebt gedaan, schakel dan nu 2FA voor je GitHub-account in. De voordelen van multifactorauthenticatie zijn uitvoerig beschreven en beschermen tegen allerlei aanvallen, zoals phishing", zegt Mike Hanley, Chief Security Officer van GitHub, in een blogposting.

GitHub ondersteunt verschillende 2FA-opties, waaronder fysieke beveiligingssleutels, virtuele beveiligingssleutels in laptops en telefoons die WebAuth ondersteunen, Time-based One-Time Password (TOTP) authenticator-apps en sms. "Hoewel sms als optie beschikbaar is, adviseren we ten zeerste het gebruik van beveiligingssleutels of TOTP's waar mogelijk. Sms-gebaseerde 2FA biedt niet dezelfde bescherming, en wordt niet langer aanbevolen onder NIST 800-63B", merkt Hanley op.

Volgens de CSO zijn de beste 2FA-opties diegene die de WebAuthn-standaard ondersteunen, waaronder fysieke beveiligingssleutels en apparaten die technologieën zoals Windows Hello of Face ID/Touch ID ondersteunen. Onlangs besloot GitHub al om geen accountwachtwoorden meer te accepteren voor het authenticeren van Git-operaties op GitHub.com. In plaats daarvan wordt alleen nog token-gebaseerde authenticatie geaccepteerd.

Ondanks de beveiligingsvoordelen van 2FA liet Twitter onlangs nog weten dat slechts 2,3 procent van alle gebruikers de optie heeft ingeschakeld.

Reacties (4)
19-08-2021, 13:27 door Briolet
Sms-gebaseerde 2FA biedt niet dezelfde bescherming, en wordt niet langer aanbevolen onder NIST 800-63B",

Vreemd. Als je 2FA via een TOTP instelt, vragen ze ook een telefoonnummer om een herstelcode via sms te kunnen sturen. Dan verlaag je de veiligheid toch ook al tot het niveau van standaard via sms?
20-08-2021, 09:07 door [Account Verwijderd]
Door Briolet:
Sms-gebaseerde 2FA biedt niet dezelfde bescherming, en wordt niet langer aanbevolen onder NIST 800-63B",

Vreemd. Als je 2FA via een TOTP instelt, vragen ze ook een telefoonnummer om een herstelcode via sms te kunnen sturen. Dan verlaag je de veiligheid toch ook al tot het niveau van standaard via sms?

Ja, maar dan heeft Microsoft al wel je telefoonnummer.
20-08-2021, 09:36 door waterlelie - Bijgewerkt: 20-08-2021, 09:41
Ik vraag mij af, of het mogelijk is om met Windows Hello een Google account op de PC te beveiligen. Ik heb hier een tijdje op gezocht, en het lijkt erop, dat dit niet mogelijk is. Volgens mijn account heb ik toegang aan Microsoft apps & services verleend, maar de optie om in te loggen met Windows Hello, lijkt daar niet onder te vallen. Als dat namelijk wel mogelijk zou zijn, dan ben je als gebruiker eigenlijk gewoon klaar, immers er moet altijd fysiek van hetzelfde apparaat worden ingelogd. Nu krijg ik bij het wisselen van een browser al alarmerende e-mails van Google toegestuurd.
21-08-2021, 15:59 door Anoniem
Door Briolet:
Sms-gebaseerde 2FA biedt niet dezelfde bescherming, en wordt niet langer aanbevolen onder NIST 800-63B",

Vreemd. Als je 2FA via een TOTP instelt, vragen ze ook een telefoonnummer om een herstelcode via sms te kunnen sturen. Dan verlaag je de veiligheid toch ook al tot het niveau van standaard via sms?

Met TOTP (en vele anderen) zit je nog met de ' trust on first use' case. Maar goed, bij het aanmaken van je account zit er nog niets waardevols in, dat komt later pas.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.