Über diesen Leitfaden
In diesem Leitfaden werden die Änderungen mit den größten Auswirkungen beschrieben, die du zum Erhöhen der Kontosicherheit vornehmen kannst. In den einzelnen Abschnitten wird jeweils eine Änderung beschrieben, die du zur Verbesserung der Sicherheit an deinen Prozessen vornehmen kannst. Die Änderungen mit den größten Auswirkungen sind zuerst aufgeführt.
Welches Risiko besteht?
Kontosicherheit ist grundlegend für die Sicherheit deiner Lieferkette. Wenn es Angreifer*innen gelingt, dein Konto auf GitHub zu übernehmen, können sie böswillige Änderungen an deinem Code oder Buildprozess vornehmen. Dein oberstes Ziel muss daher sein, die Übernahme deines Kontos und der Konten anderer Mitglieder in deiner Organisation zu erschweren.
Konfigurieren der zweistufigen Authentifizierung
Die beste Möglichkeit, die Sicherheit deines persönlichen Kontos zu verbessern, ist die Konfiguration der zweistufigen Authentifizierung. Kennwörter selbst können kompromittiert werden, wenn sie erraten werden können, auf einer kompromittierten Website wiederverwendet oder durch Social Engineering wie Phishing kompromittiert werden. Mit der zweistufigen Authentifizierung wird die Kompromittierung eines Kontos deutlich erschwert, selbst wenn der Angreifer über das entsprechende Kennwort verfügt.
Wenn du Organisationsbesitzer bist, kannst du festlegen, dass alle Mitglieder der Organisation die zweistufige Authentifizierung aktivieren.
Konfigurieren eines persönlichen Kontos
GitHub unterstützt mehrere Optionen für die zweistufige Authentifizierung, und obwohl jede davon besser ist als nichts, ist WebAuthn doch die sicherste Option. Für WebAuthn wird entweder ein Hardwaresicherheitsschlüssel oder ein Gerät benötigt, das über Windows Hello oder Mac TouchID entsprechende Unterstützung bietet. Phishing ist bei anderen Formen der zweistufigen Authentifizierung zwar schwierig, aber möglich (wenn du beispielsweise gebeten wirst, dein sechsstelliges Einmalkennwort vorzulesen). Bei WebAuthn ist Phishing dagegen nicht möglich, da im Protokoll eine Domänendefinition integriert ist, mit der verhindert wird, dass Anmeldeinformationen von einer Website, die eine Anmeldeseite imitiert, für GitHub verwendet werden.
Beim Einrichten der zweistufigen Authentifizierung solltest du die Wiederherstellungscodes immer herunterladen und mehr als eine Stufe einrichten. Dadurch wird sichergestellt, dass der Zugriff auf dein Konto nicht von einem einzelnen Gerät abhängt. Weitere Informationen findest du unter Konfigurieren der zweistufigen Authentifizierung, Konfigurieren von Wiederherstellungsmethoden bei der zweistufigen Authentifizierung und unter GitHub-Hardwaresicherheitsschlüssel im GitHub-Shop.
Konfigurieren eines Organisationskontos
Als Organisationsinhaberin kannst du erkennen, für welche Benutzerinnen die zweistufige Authentifizierung nicht aktiviert ist. Du kannst ihnen beim Einrichten der zweistufigen Authentifizierung behilflich sein und anschließend festlegen, dass für deine Organisation die zweistufige Authentifizierung verwendet werden muss. Informationen zu dieser Vorgehensweise findest du unter:
- Überprüfen, ob Benutzer*innen in deiner Organisation die zweistufige Authentifizierung aktiviert haben
- Vorbereitung darauf, dass in deiner Organisation die zweistufige Authentifizierung verwendet werden muss
- Festlegen, dass in deiner Organisation die zweistufige Authentifizierung verwendet werden muss
Herstellen einer Verbindung mit GitHub mithilfe von SSH-Schlüsseln
Außer der Anmeldung bei der Website gibt es auch andere Möglichkeiten, mit GitHub zu interagieren. Viele autorisieren den Code, den sie an GitHub pushen, mit einem privaten SSH-Schlüssel. Weitere Informationen findest du unter Informationen zu SSH.
Ebenso wie bei deinem Kontokennwort können Angreifer*innen deine Identität annehmen und böswilligen Code an alle Repositorys pushen, für die du Schreibzugriff hast, falls sie an deinen privaten SSH-Schlüssel gelangen. Wenn du deinen privaten SSH-Schlüssel in einem Datenträgerlaufwerk speicherst, solltest du ihn mit einer Passphrase zu schützen. Weitere Informationen findest du unter Verwenden von Passphrasen für SSH-Schlüssel.
Eine weitere Option besteht darin, SSH-Schlüssel mit einem Hardwaresicherheitsschlüssel zu generieren. Dabei kann derselbe Schlüssel wie für die zweistufige Authentifizierung verwendet werden. Die Kompromittierung von Hardwaresicherheitsschlüsseln per Fernzugriff ist schwierig, da der private SSH-Schlüssel auf der Hardware verbleibt und über die Software nicht direkt zugänglich ist Weitere Informationen findest du unter Generieren eines neuen SSH-Schlüssels für einen Hardwaresicherheitsschlüssel.