10 мая веб-сервис для хостинга IT-проектов и их совместной разработки GitHub добавил поддержку ключей безопасности для аутентификации по SSH при использовании Git. Разработчики теперь могут использовать внешние портативные устройства, работающие с протоколом FIDO2, для дополнительной защиты от попыток перехвата учетной записи и предотвращения случайного раскрытия секретного ключа.
Пользователям сервиса по-прежнему придется создавать пару из открытого и закрытого ключей, но секретные биты в этом случае будут генерироваться и храниться в ключе безопасности FIDO2, а открытая его часть будет храниться на ПК разработчика, как и любой другой открытый ключ SSH. Хотя часть закрытого ключа и будет храниться на ПК — это лишь ссылка на физический ключ безопасности, который бесполезен без доступа к фактическому устройству.
Ранее пользователи GitHub обычно использовали ключи RSA или ed25519. Теперь они могут задействовать два дополнительных типа ключей безопасности: ecdsa-sk и ed25519-sk.
GitHub советует разработчикам заменить все их ранее зарегистрированные SSH-ключи на SSH-ключи с поддержкой ключей безопасности. Только это сможет гарантировать, что только обладатель ключа безопасности FIDO2 будет единственным пользователем, кто может управлять данными Git своих проектов по SSH. В этом случае отпадает необходимость отслеживать все генерируемые ранее ключи SSH, поскольку они станут бесполезны без доступа к ключу безопасности, с которым они связаны.
В 2019 году исследователи из университета штата Северная Каролина (NCSU) обнаружили, что из более чем 100 тыс. репозиториев GitHub произошла утечка токенов API и криптографических ключей (SSH и TLS) после сканирования примерно 13% общедоступных репозиториев GitHub в течение почти шести месяцев. Ими было также обнаружило, что из тысячи новых репозиториев продолжают ежедневно утекать данные по токенам и ключам.
15 декабря 2020 года GitHub предупредил всех пользователей о плановом переходе на токены и SSH-ключи при доступе к Git. Доступ только по паролям к Git будет заблокирован с 13 августа 2021 года. Это делается для защиты пользователей и предотвращения использования злоумышленниками похищенных или взломанных паролей.
