Закрытый ключ шифрования будет храниться в аппаратном ключе, а открытый – на компьютере пользователя.
Отныне пользователи GitHub могут защищать свои учетные записи с помощью аппаратных ключей безопасности FIDO2.
Два года назад исследователи Университет штата Северная Каролина просканировали порядка 13% от всех GitHub-репозиториев и обнаружили, что более 10 тыс. из них имеют утекшие токены API и криптографические ключи (SSH и TLS). Более того, утечку API и ключей ежедневно допускают тысячи новых репозиториев.
Теперь же пользователи могут с помощью миниатюрных устройств FIDO2 обеспечивать дополнительную защиту своих Git-операций, предотвращая случайные утечки и блокируя вредоносному ПО доступ к учетным записям.
«Сгенерированные новые ключи можно добавлять в учетную запись как любой другой SSH-ключ. Вы по-прежнему создаете пару из закрытого и открытого ключа, но секретные биты будут храниться в ключе безопасности, а открытые – на вашей машине, как и любой другой SSH-ключ», - пояснил старший инженер по безопасности GitHub Кевин Джонс (Kevin Jones).
Хотя закрытый ключ и будет храниться на компьютере, он будет представлять собой всего лишь ссылку на физический ключ безопасности, бесполезную без доступа к фактическому устройству.
«При использовании SSH с ключом безопасности никакая конфиденциальная информация никогда не покидает физический ключ безопасности. Если вы являетесь единственным человеком, имеющим физический доступ к вашему электронному ключу, можете без опасений оставлять его подключенным», - сообщил Джонс.
Для того чтобы еще больше повысить безопасность учетной записи GitHub, рекомендуется поменять все ранее зарегистрированные SSH-ключи на SSH-ключи, поддерживаемые ключами безопасности.
Никаких овечек — только отборные научные факты