GitHub ha appena rilasciato un aggiornamento che consente ai suoi membri di accedere al sito sfruttando il nuovo standard di sicurezza Web Authentication (WebAuthn).
Mentre il sito in precedenza supportava l’autenticazione a due fattori (2FA) tramite SMS, le app generatrici di password e chiavi di sicurezza U2F, il passaggio a WebAuthn apre le porte a key fisiche tramite Firefox, Chrome, macOS, Linux e Android.
Oppure, anche il notebook o il telefono quali key di ingresso neo profili, grazie a Windows Hello, Touch ID su Mac o lettori di impronte digitali associati ad Android. In pratica, GitHub rende più semplice, e decisamente più sicuro, accreditarsi tramite hardware piuttosto che solo piattaforme software online, un mix perfetto tra modalità classiche e biometria.
La sicurezza dell’account è fondamentale per GitHub – ha scritto Lucas Garron, ingegnere della sicurezza di GitHub – Sebbene supportiamo forti opzioni di autenticazione, molte persone non usano ancora un gestore di password o un’autenticazione a due fattori perché le singole password sono sempre state la scelta più semplice.
Per ora, le chiavi di sicurezza sono secondarie rispetto ad altri metodi 2FA, ma il sito si sta impegnando per renderle più presenti nei moduli principali.
Poiché il supporto della piattaforma non è ancora onnipresente, GitHub attualmente abilita le chiavi di sicurezza come secondo fattore supplementare – ha scritto Garron – aa stiamo valutando le chiavi di sicurezza come un secondo fattore primario visto che più piattaforme li supportano.
Ci stiamo avvicinando ad un futuro senza password? Si e c’è anche qualche rischio. Ad esempio, quando si perde la key fisica che si fa? Il sito permette di ottenere un codice di recupero che appare quando si configura il metodo 2FA, stampato o salvato nel gestore di password preferito. Google Authenticator e Microsoft Authenticator consentono anche di eseguire il backup delle chiavi ma se un utente non lo fa, è estremamente difficile dimostrare la propria identità e ripristinare un account.
In ogni caso, è una buona cosa che GitHub stia guardando a tale panorama. Come repository di codice, è un obiettivo allettante per i criminali informatici che potrebbero far scivolare i loro malware nelle librerie delle applicazioni utilizzate dagli sviluppatori.