O GitHub, plataforma de hospedagem de código-fonte e arquivos com controle de versão usando o Git, adicionou suporte para proteger as operações SSH Git usando chaves de segurança FIDO2 para proteção adicional contra tentativas de controle de conta.
Pesquisadores da North Carolina State University (NCSU) descobriram dois anos atrás que mais de 100.000 repositórios GitHub vazaram tokens de API e chaves criptográficas (SSH e TLS) após escanear cerca de 13% dos repositórios públicos do GitHub em quase seis meses. Além disso, descobriram também, que milhares de novos repositórios também vazavam segredos diariamente.
Com o recurso recém-adicionado do GitHub, agora você pode usar dispositivos FIDO2 portáteis para autenticação SSH para proteger as operações do Git e evitar exposição acidental de chave privada e solicitações de inicialização de malware sem sua aprovação.
“Depois de geradas, você adiciona essas novas chaves à sua conta como qualquer outra chave SSH”, disse Kevin Jones, engenheiro de segurança sênior do GitHub. Segundo ele “você ainda criará um par de chaves pública e privada, mas bits secretos são gerados e armazenados na chave de segurança, com a parte pública armazenada em sua máquina como qualquer outra chave pública SSH.”
Embora uma chave privada seja armazenada em seu computador, esta é apenas uma referência à sua chave de segurança física que é inútil sem ter acesso ao dispositivo real. “Ao usar SSH com uma chave de segurança, nenhuma das informações confidenciais sai do dispositivo de chave de segurança física”, acrescentou Jones. “Se você é a única pessoa com acesso físico à sua chave de segurança, é seguro deixá-la conectada o tempo todo.”
GitHub e o suporte a chaves de segurança
Para aumentar ainda mais a segurança de sua conta GitHub contra tentativas de controle, você deve substituir todas as chaves SSH registradas anteriormente por chaves SSH apoiadas por chaves de segurança. Isso garante que você seja o único capaz de gerenciar os dados Git de seus projetos por SSH enquanto sua chave de segurança FIDO2 está sob seu controle.
Usar apenas chaves SSH apoiadas por dispositivos FIDO2 significa que você não terá que rastrear todas as chaves SSH geradas, pois elas são inúteis sem acesso à chave de segurança com a qual estão emparelhadas. Além disso, o GitHub remove automaticamente todas as chaves SSH inativas de sua conta, tornando o gerenciamento de chaves muito mais fácil se você estiver trabalhando em vários dispositivos ou se tiver perdido um deles.
Para mudar para o novo fluxo de trabalho de operações SSH Git hoje, você precisa fazer login em sua conta GitHub, gerar uma nova chave SSH para uma chave de segurança de hardware e adicioná-la à sua conta. Faça isso agora e garanta mais segurança à sua conta!
O GitHub também anunciou em dezembro que mudará para a autenticação baseada em tokens a partir de agosto de 2021, quando as senhas de contas não serão mais aceitas para autenticar operações Git. Além disso, o GitHub também foi um dos primeiros a mudar para a autenticação da Web (WebAuthn) para chaves de segurança para autenticação de dois fatores e um dos primeiros a adotar o padrão de autenticação aberta FIDO Universal 2nd Factor (U2F).