Wer auf GitHub Code einstellt oder verwaltet, muss sein Konto demnächst zwingend mit Zwei-Faktor-Authentisierung, kurz 2FA absichern. Wer den Termin verpasst, hat nur noch eingeschränkten Zugang zu GitHub mit reduzierten Rechten, bis die Umstellung des Kontos nachgeholt wurde.
Was ist 2FA?
Für alle, die es bis jetzt nicht wissen, sei 2FA hier kurz erklärt. Es geht dabei um einen Identitätsnachweis anhand zweier voneinander unabhängiger Faktoren. Wir alle kennen das etwa von Bankkarte und zugehöriger Pin oder Passwort und TAN beim Online-Banking. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt 2FA für sicherheitskritische Anwendungsbereiche. Dienste wie Amazon, Google, Posteo, mailbox.org und viele andere bieten den zusätzlichen Faktor bereits länger an.
Umstellung seit März 2023
Seit März 2023 macht GitHub schrittweise 2FA verpflichtend für alle Anwender, die Code auf GitHub.com beitragen. Es wird sukzessive ausgerollt und seit einigen Wochen erhielt ich entsprechende E-Mails, die mich auf die verpflichtende Einführung hinweisen. Nach der ersten Mail beginnt eine 45-tägige Frist, die bei mir am 26. Januar 2024 endet. Auch auf GitHub selbst weisen Banner darauf hin, wenn ich mich eingeloggt hatte.
Zwang ist nie gut
Üblicherweise bin ich kein Freund von erzwungenen Sicherheitsmaßnahmen. So stößt es mir jedes Mal sauer auf, wenn Distributionen ein sicheres Passwort verlangen. Das liegt daran, dass 99 % meiner Installationen in meist kurzlebigen VMs stattfinden, bei denen ich seit Jahren immer das gleiche kurze Passwort verwende. Aber im Falle von GitHub habe ich ein Einsehen und habe, wie bei rund einem Dutzend weiterer Dienste, 2FA aktiviert, auch wenn ich den Zwang dahinter nicht gutheiße.
Optionen
GitHub bietet mehrere Optionen zur Aktivierung von 2FA. Die Empfehlung geht dahin, mindestens zwei dieser Optionen einzurichten, um sicherzustellen, dass immer Zugang zum Konto besteht.
Die gebotenen Optionen umfassen:
- Sicherheits-Token
- GitHub Mobile App
- Authentifizierungs-App (TOTP)
- Textnachrichten (SMS)
Ich habe mich für TOTP und einen Nitrokey entschieden. Ist schnell eingerichtet und funktioniert. Weitere Informationen gibt es im GitHub-Blog.
