Wer auf GitHub Code einstellt oder verwaltet, muss sein Konto demnächst zwingend mit Zwei-Faktor-Authentisierung, kurz 2FA absichern. Wer den Termin verpasst, hat nur noch eingeschränkten Zugang zu GitHub mit reduzierten Rechten, bis die Umstellung des Kontos nachgeholt wurde.
Was ist 2FA?
Für alle, die es bis jetzt nicht wissen, sei 2FA hier kurz erklärt. Es geht dabei um einen Identitätsnachweis anhand zweier voneinander unabhängiger Faktoren. Wir alle kennen das etwa von Bankkarte und zugehöriger Pin oder Passwort und TAN beim Online-Banking. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt 2FA für sicherheitskritische Anwendungsbereiche. Dienste wie Amazon, Google, Posteo, mailbox.org und viele andere bieten den zusätzlichen Faktor bereits länger an.
Umstellung seit März 2023
Seit März 2023 macht GitHub schrittweise 2FA verpflichtend für alle Anwender, die Code auf GitHub.com beitragen. Es wird sukzessive ausgerollt und seit einigen Wochen erhielt ich entsprechende E-Mails, die mich auf die verpflichtende Einführung hinweisen. Nach der ersten Mail beginnt eine 45-tägige Frist, die bei mir am 26. Januar 2024 endet. Auch auf GitHub selbst weisen Banner darauf hin, wenn ich mich eingeloggt hatte.
Zwang ist nie gut
Üblicherweise bin ich kein Freund von erzwungenen Sicherheitsmaßnahmen. So stößt es mir jedes Mal sauer auf, wenn Distributionen ein sicheres Passwort verlangen. Das liegt daran, dass 99 % meiner Installationen in meist kurzlebigen VMs stattfinden, bei denen ich seit Jahren immer das gleiche kurze Passwort verwende. Aber im Falle von GitHub habe ich ein Einsehen und habe, wie bei rund einem Dutzend weiterer Dienste, 2FA aktiviert, auch wenn ich den Zwang dahinter nicht gutheiße.
Optionen
GitHub bietet mehrere Optionen zur Aktivierung von 2FA. Die Empfehlung geht dahin, mindestens zwei dieser Optionen einzurichten, um sicherzustellen, dass immer Zugang zum Konto besteht.
Die gebotenen Optionen umfassen:
- Sicherheits-Token
- GitHub Mobile App
- Authentifizierungs-App (TOTP)
- Textnachrichten (SMS)
Ich habe mich für TOTP und einen Nitrokey entschieden. Ist schnell eingerichtet und funktioniert. Weitere Informationen gibt es im GitHub-Blog.
Ich finde es zwar auch lästig, aber bei den vielen „password“, „gandlaf“, „1234abcd“ kann man schon verstehen, dass da nachgebessert werden musste – ich fände es aber besser, nur einen Hash-Vergleich mit einer langen Liste beim Setzen des Passworts durchzuführen und so alle Billig-/Wörterbuchpasswörter rauszufischen (mit 2FA optional als Erweiterung).
Wenn Du ein Wegwertpasswort für kurzlebige VMs etc. brauchst, kannst Du dafür doch auch ein passables Passwort immer wiederverwenden (in diesem Fall wohl OK), das kannst Du dann nach kurzer Zeit auch schnell genug eintippen, oder? Aber speziell bei Online-Konten muss man ja nicht nur die direkt Geschädigten vor sich selbst schützen, sondern auch alle Dritten, da finde ich den Zwang gut – nur das Mittel hier nicht ideal. Aber bei GitHub habe ich eh nix mehr vor, wenn ich es vermeiden kann 😉
Hi,
Das verstehe ich nicht: Wieso meint Du, jemanden vor sich selbst schützen zu müssen, wenn nicht expliziet als Vormund für einen als offiziell unmündig erklärten Menschen fungiere.
Warum stimmt man freiwillig gegen Freiheit und für Bevormundung?
Was das Schützen vor sich selbst bedeutet hat, haben wir intensiv in der sogenannten Pandemie erleben “dürfen”..
Wer hat zudem das Recht, sich über andere zu stellen und seine Ansichten als die Richtigen durchzusetzten.
Ich bin erschüttert in meinen Glauben an die Menschheit.
Mein Glauben an die Menschheit ist bereits seit Pandemie und Co. Komplett dahin. Genauso wie der Glaube an die derzeitige Regierung( und da zweifle ich bereits schon das reine Mensch sein. ). Obwohl…, dieser Glaube war eigentlich nie existent.
Gibt doch auch noch gitlab…
Und dann nimmt man sich ne gut klingende Kombi aus Groß und Kleinbuchstaben sowie Zahlen und Sonderzeichen.
Manchmal habe ich das Gefühl, dass dieses ständige Nachgeäffe so ein Entwickler-Ding ist. Ich hatte das letztens auch, wo der Chef nur weil es ja so „cool“ ist ne 2FA implementieren hat lassen. Für eine (in meinen Augen!) bedeutungslose App. Und weil ja jeder so ‚hipp‘ sein möchte, springt da jeder mit auf.
Ich hab noch maximal 45Jahre auf diesem Planeten. Ich sehe keinen Deut der Besserung.
Guten Rutsch an alle Linux‘er da draussen!
Das hat aber lange gedauert.
Auf der einen Seite reden alle von Freiheit aber wenn sie wirklich selbstbestimmt und selbstverantwortlich leben muessten, wuerden 95% scheitern.
Man muss nicht alles regulieren wollen und man muss auch niemanden vor Dummheit schuetzen, das ist Jedem sein eigenes Problem.
> Man muss nicht alles regulieren wollen und man muss auch niemanden vor Dummheit schuetzen, das ist Jedem sein eigenes Problem.
Das ist so ein menschliches Ding, hängt davon ab in welcher Position man sich befindet. Wer kann, der will meist auch.
“Andere vor sich selbst schützen” heißt meiner Meinung nach eher “andere kontrollieren.”
“Andere vor sich selbst schützen” heißt bei mir Bevormundung.
Und die Menschen muessen das Selbstverstaendlichste in der Welt wieder lernen (weil es ihnen aberzogen wurde), Selbstbestimmtheit, Selbstverantwortung.
Die Menschen muessen nicht vor irgendetwas geschuetzt werden im normalen Leben, wenn man sie laesst kriegen sie das selbst hin.
> Bevormundung.
Ein Synonym für “Kontrolle”
Ansonsten 100% Zustimmung
Da stimme ich fast vollständig zu (auch zu einigen Folgekommentaren) – aber jemand, der auf Online-Konten ein Trivialpasswort verwendet (und da gab es ja auch bei relevanten Konten und Projekten durchaus schon entsprechende Cracks), ist für mich in diesem Punkt vollständig unmündig. Und die wesentliche Aussage sollte gewesen sein, dass in diesen Fällen eben auch gerade alle anderen Leute im Netz vor Konten mit solchen dämlichen Passwörtern geschützt werden sollten.
Es gibt nun mal die Einen und die Anderen. Die Profis, die eigenverantwortlich ein schwaches Passwort setzen wollen und die “Ahnungslosen”, die aus Unwissenheit und/oder Sorglosigkeit etwas tun, dessen Tragweite sie eben nicht sehen oder begreifen können.
Kontrolliert oder bevormundet werden dann aber alle – mit Ausnahme derer, die die Kontrolle ausüben – und das ist nun mal der Umstand der die “Profis” auf die Palme bringt. Ist aus meiner Sicht nachvollziehbar. Dieses Thema ist ja nicht auf die IT beschränkt, Wenn dir ein Lebensbereich einfällt der noch vollständig in die eigene Verantwortung fällt, bin ich interessiert.
Die utopische Vorstellung wäre nun, dass die Freiheit des Menschen einhergeht mit der Einsicht, dass die eigene Freiheit immer auch die Freiheit der anderen inkludieren muss.
Angenommen das wäre so, dann würden die Planungen nicht darauf zielen, wie man Dinge kontrolliert, sondern genau in die entgegengesetzte Richtung. Nämlich auf die Ertüchtigung zur Eigenverantwortung. Beispielsweise mit dem Schulfach [“Digitale Souveränität”], etc. pp. Es gäbe genug Themen.
> ist für mich in diesem Punkt vollständig unmündig.
Die Lösung wäre dann, dass nicht irgendwer irgendwen für unmündig erklärt (ja, nur in diesem speziellen Punkt, ich habe es verstanden), sondern, dass diese Person aus der “Unmündigkeit” geführt wird.
Da unsere Gesellschaft auf dem – seit Urzeiten kultiviertem – Fundament aus Konkurrenz und Wettbewerb baut, ist es kaum vorstellbar, dass hieraus etwa anderes erwachsen könnte als eben das was wir haben. Macht und Stärke hat vorrangig ein Ziel, Mehrung und Stärkung seiner selbst. Ein Aspekt davon ist das Kontrollbedürfnis .. .mmh was will ich eigentlich für ein Punkt setzen … ich weiß es nicht mehr 🙂
Tolle Diskussion.
Danke allen für neue Sichten auf das immer wichtiger werdende Thema der eigenen Souveränität.
Das ist genau der Faden, den Du meintest verloren zu haben.
Dieser wesentlichste, allein entscheidende Punkt, war mir bisher entgangen, weil man sich verleiten läßt, auf Umwegen zu denken und zu begreifen.
Dabei ist die Klarheit und Offensichtlichkeit dieses Faktums doch eigentlich nicht zu übersehen.
Danke dafür.
Ich wünsche mir, auch für das Neue Jahr, weiterhin so sachliche Diskussionen, auch und gerade, wenn es dabei nicht unbedingt Linux geht.
In diesem Sinne, allen ein frohes Neues Jahr wünscht, Kai
Ja, das war’s danke. Puh, grade noch die Kurve gekriegt bevor es in verworrenes Geseiere abgedriftet wäre 🙂