A GitHub is bevezeti a jelszómentes azonosítást
Megérkeztek a passkey-ek a legnépszerűbb fejlesztői kollaborációs platformra, ami a jelszavak kiváltásával még egy fokkal biztonságosabbá teszi a szolgáltatás használatát.
Egyelőre bétában, de a GitHub megkezdte a jelszó nélküli hitelesítés támogatásának bevezetését, ami a jövőben lehetővé teszi a felhasználók számára, hogy azonosítókulcsok (passkey) segítségével hitelesítsék magukat. Ez azt jelenti, hogy elhagyhatják a hagyományos jelszavakat és a kétlépcsős hitelesítés során kiküldött ellenőrzőkódokat anélkül, hogy le kellene mondaniuk a biztonságos azonosításról. Helyette a biztonságosként megjelölt eszközről PIN-kóddal, vagy valamilyen biometrikus azonosítóval hitelesíthetik magukat, így az azonosítás helyben történik az eszközön. A kulcsok aktiválását a felhasználói fiók beállításai alól előhívható „Feature Preview” menüben lehet megtenni.
A kizárólag jelszóval történő hitelesítés az egyik legnagyobb biztonsági probléma, sok felhasználó nem fordít figyelmet a jelszavak újrafelhasználásának kockázatára, vagy a kétfaktoros hitelesítés bekapcsolására. A jelszó nélküli bejelentkezés lehetővé teszi a felhasználók számára, hogy az eszközüket, így például a telefonjukat, vagy laptopjukat használják az alkalmazások, webhelyek és más digitális szolgáltatások fő hitelesítési eszközeként.
A fizikai eszköztől függő bejelentkezés sokkal nehezebbé teszi a hackerek számára a bejelentkezési adatok távolról történő kompromittálását, így nehezebb végrehajtani azokat az adathalász támadásokat, amelyek során a felhasználókat hamis webhelyre irányítják a jelszavak ellopásának céljából. Azáltal, hogy nem kell minden alkalmazáshoz és webhelyhez emlékezni és kezelni az egyedi jelszavakat, jelentősen javítják a felhasználói élményt és a biztonságot.
A senior horizonton túl: a staff meg a többiek Senior tapasztalati szint fölött van még pár egzotikus lépcsőfok, illetve a mögöttük rejtőző elvárások.
A GitHub ezzel újabb lépést tesz a szoftver-ellátási lánc biztonságának erősítése érdekében. A bejelentést megelőzően a kollaborációs platform március 13-tól kötelezővé tette a kéttényezős hitelesítést (2FA) használatát az összes aktív fejlesztő számára, előtte pedig kivezette a fiókjelszavak használatát. Az évek során a GitHub megerősítette fiókbiztonsági intézkedéseit azáltal, hogy kétfaktoros hitelesítést és bejelentkezési figyelmeztetéseket vezetett be, blokkolta a feltört jelszóhasználatot, és bevezette a WebAuthn támogatást.
A Google, az Apple és a Microsoft tavaly jelentették be, hogy hamarosan minden saját platformjukon kiterjesztik a FIDO Alliance és a World Wide Web konzorcium által kidolgozott FIDO (Fast IDentity Online) bejelentkezési szabványok támogatását, legyen szó mobilról, számítógépről, böngészőkről. Ezzel a lépéssel a jelszómentes bejelentkezés szép lassan egyre több szolgáltatás részévé válhat. A Google idén a személyes Google-fiókok után a Workspace és Cloud ügyfelek számára is lehetővé tette a jelszavakat és 2FA-kódokat kiváltó új hitelesítési lehetőség használatát, így a passkeyek több mint 9 millió vállalkozás, iskola és kormányzati szervezet számára váltak elérhetővé elérhetőek.