GitHub a annoncé hier que la plateforme n’accepte plus les mots de passe pour l’authentification des opérations Git CLI, et nécessitera donc l’utilisation d’identifiants plus forts pour toutes les opérations Git authentifiées sur GitHub.com. Cela inclut les clés SSH (pour les développeurs), les tokens d’installation OAuth ou GitHub App (pour les intégrateurs) ou une clé de sécurité matérielle, telle qu’une YubiKey.
Yubico et GitHub ont également étendu leur partenariat, pour que les utilisateurs de GitHub puissent désormais sécuriser leurs Git Commits à l’aide d’une clé GPG stockée sur leur YubiKey. C’est un moyen crucial de s’assurer que les contributions open source sont apportées par des utilisateurs légitimes au sein des communautés de développeurs ou des entreprises.
GitHub soutient depuis longtemps une sécurité renforcée pour ses clients et ses communautés de développeurs. De sa prise en charge la plus récente de l’utilisation des clés de sécurité U2F et FIDO2 pour SSH à son annonce en 2019 de la prise en charge de l’authentification Web (WebAuthn) pour les clés de sécurité et de la prise en charge du second facteur universel (U2F) 2015, la société a continué à offrir à ses millions de clients le capacité à protéger leurs comptes et leurs projets grâce à l’utilisation de l’authentification YubiKey matérielle.
Mais la semaine dernière a peut-être marqué l’une des mesures les plus importantes que la société ait prises à ce jour. GitHub a annoncé qu’à compter du 13 août 2021, elle n’acceptera plus les mots de passe des comptes d’authentification par mot de passe Git lors de l’authentification des opérations Git CLI et nécessitera l’utilisation d’informations d’authentification plus fortes pour toutes les opérations Git authentifiées sur GitHub.com. Cela inclut les clés SSH (pour les développeurs), le jeton d’installation OAuth ou GitHub App (pour les intégrateurs) ou une clé de sécurité matérielle, telle qu’une YubiKey. Cette annonce s’accompagne également du partenariat continu entre Yubico et GitHub – ainsi que de très jolies éditions limitées de YubiKeys GitHub.
Les utilisateurs de GitHub peuvent sécuriser leurs Git Commits à l’aide d’une clé GPG stockée sur leur YubiKey. C’est un moyen crucial de s’assurer que les contributions open source sont apportées par les bons utilisateurs dans les communautés ou les organisations de développeurs.
Il y a une forte dynamique avec FIDO2, WebAuthn et sans mot de passe – plus de la moitié (61 %) des organisations interrogées dans un récent rapport 451 Research et Yubico ont soit déployé ou ont une authentification sans mot de passe dans le pilote (34 % des répondants ont déjà déployé la technologie sans mot de passe , 27% en pilote).
GitHub aide à réaliser cet avenir pour ces organisations avec leur décision de prendre en charge FIDO2 et la voie vers un avenir sans mot de passe pour résoudre les problèmes traditionnels de MFA. Mais toutes les formes de MFA ne sont pas créées égales lorsqu’il s’agit d’accompagner les organisations dans la transition vers le sans mot de passe. Les YubiKeys sont conçues pour répondre et évoluer avec votre infrastructure de sécurité et peuvent être déployées dans des environnements sans mot de passe avec nos partenaires IAM sous forme de carte à puce ou de clé de sécurité FIDO2, par exemple.
Tribune par Yubiko.