Über diesen Leitfaden
In diesem Leitfaden werden die Änderungen mit den größten Auswirkungen beschrieben, die du zum Erhöhen der Kontosicherheit vornehmen kannst. In den einzelnen Abschnitten wird jeweils eine Änderung beschrieben, die du zur Verbesserung der Sicherheit an deinen Prozessen vornehmen kannst. Die Änderungen mit den größten Auswirkungen sind zuerst aufgeführt.
Welches Risiko besteht?
Kontosicherheit ist grundlegend für die Sicherheit deiner Lieferkette. Wenn es Angreifenden gelingt, dein Konto auf GitHub zu übernehmen, können sie böswillige Änderungen an deinem Code oder Buildprozess vornehmen. Ihr oberstes Ziel muss daher sein, die Übernahme Ihres Kontos und der Konten anderer Mitglieder in Ihrer Organisation oder Ihrem Unternehmen zu erschweren.
Authentifizierung zentralisieren
Wenn du Unternehmens- oder Organisationsbesitzer bist, kannst du die zentralisierte Authentifizierung mit SAML konfigurieren. Mitglieder können zwar manuell hinzugefügt oder entfernt werden. Es ist jedoch einfacher und sicherer, einmaliges Anmelden (SSO) und SCIM zwischen GitHub und dem SAML-Identitätsanbieter (IdP) einzurichten. Dadurch wird auch der Authentifizierungsprozess für alle Mitglieder deines Unternehmens vereinfacht.
Du kannst die SAML-Authentifizierung für ein Unternehmens- oder Organisationskonto konfigurieren. Mit SAML können Sie den Zugriff auf die persönlichen Konten von Mitgliedern Ihres Unternehmens oder Ihrer Organisation auf GitHub über Ihren IdP gewähren, oder Sie können die Konten, die zu Ihrem Unternehmen gehören, mithilfe von Enterprise Managed Users erstellen und steuern. Weitere Informationen finden Sie unter Informationen zur Identitäts- und Zugriffsverwaltung.
Wenn Mitglieder nach dem Konfigurieren der SAML-Authentifizierung Zugriff auf deine Ressourcen anfordern, werden sie an deinen SSO-Flow weitergeleitet. Damit wird sichergestellt, dass sie weiterhin von deinem IdP erkannt werden. Wenn sie nicht erkannt werden, wird ihre Anforderung abgelehnt.
Einige IdPs unterstützen ein Protokoll namens SCIM, das den Zugriff auf GitHub automatisch bereitstellen und aufheben kann, wenn du Änderungen an deinem IdP vornimmst. Mit SCIM kannst du die Verwaltung vereinfachen, während dein Team wächst, und du kannst den Zugriff auf Konten schnell widerrufen. SCIM ist für einzelne Organisationen in GitHub Enterprise oder für Unternehmen verfügbar, die Enterprise Managed Users verwenden. Weitere Informationen finden Sie unter Informationen zu SCIM für Organisationen.
Konfigurieren der zweistufigen Authentifizierung
Note
Hinweis: Seit März 2023 verlangte GitHub von allen Benutzern, die Code auf GitHub.com beitragen, die Aktivierung einer oder mehrerer Formen der Zwei-Faktor-Authentifizierung (2FA). Wenn du einer berechtigten Gruppe angehörst, wurdest du per E-Mail benachrichtigt, wenn diese Gruppe für die Registrierung ausgewählt wurde. Ab diesem Zeitpunkt beginnt eine 45-tägige Anmeldefrist für 2FA, und auf GitHub.com wurden Banner angezeigt, die dich zur Registrierung für 2FA aufforderten. Wenn du keine Benachrichtigung erhalten hast, gehörst du keiner Gruppe mit verpflichtender 2FA-Registrierung an, aber wir empfehlen diese ausdrücklich.
Weitere Informationen zum Rollout der 2FA-Registrierung findest du in diesem Blogbeitrag.
Die beste Möglichkeit zur Verbesserung der Sicherheit Ihres Ihres Kontos ist die Konfiguration der Zwei-Faktor-Authentifizierung (2FA). Kennwörter selbst können kompromittiert werden, wenn sie erraten werden können, auf einer kompromittierten Website wiederverwendet oder durch Social Engineering wie Phishing kompromittiert werden. Mit der zweistufigen Authentifizierung wird die Kompromittierung eines Kontos deutlich erschwert, selbst wenn der Angreifer über das entsprechende Kennwort verfügt.
Um sowohl die Sicherheit als auch den zuverlässigen Zugriff auf dein Konto zu gewährleisten, solltest du immer mindestens zwei Anmeldeinformationen mit Zwei-Faktor-Authentifizierung in deinem Konto registriert haben. Zusätzliche Anmeldeinformationen stellen sicher, dass du nicht aus deinem Konto gesperrt wirst, auch wenn du den Zugriff auf eine Anmeldeinformation verlierst.
Außerdem solltest du nach Möglichkeit Hauptschlüssel, Sicherheitsschlüssel und Authentifikator-Apps (sogenannte TOTP-Apps) der Verwendung von SMS vorziehen. Sowohl SMS-basierte 2FA- als auch TOTP-Apps sind anfällig für Phishing und bieten nicht das gleiche Maß an Schutz wie Hauptschlüssel und Sicherheitsschlüssel. SMS wird nicht mehr unter den NIST 800-63B-Richtlinien für digitale Identität empfohlen.
Wenn Dienstkonten in deiner Organisation von GitHub für die 2FA-Registrierung ausgewählt wurden, funktionieren ihre Token und Schlüssel nach Ablauf der Frist ohne Unterbrechung weiter. Nur der Zugriff auf GitHub über die Websitebenutzeroberfläche wird blockiert, bis für das Konto 2FA aktiviert wurde. Es wird empfohlen, TOTP als zweiten Faktor für Dienstkonten einzurichten und den TOTP-Geheimschlüssel zu speichern, der während des Setups im freigegebenen Kennwort-Manager deines Unternehmens verfügbar gemacht wird, wobei der Zugriff auf die Geheimnisse über einmaliges Anmelden gesteuert wird.
Wenn du Unternehmensbesitzer bist, kannst du eine Richtlinie konfigurieren, die für alle Organisationen im Besitz deines Unternehmens eine zweistufige Authentifizierung erfordert.
Wenn du Organisationsbesitzer bist, kannst du möglicherweise festlegen, dass alle Mitglieder der Organisation die zweistufige Authentifizierung aktivieren.
Weitere Informationen zum Aktivieren von 2FA in deinem eigenen Konto findest du unter Zwei-Faktor-Authentifizierung konfigurieren. Weitere Informationen zur Anforderung von 2FA in deiner Organisation findest du unter Erfordern der zweistufigen Authentifizierung in deiner Organisation.
Konfigurieren deines Unternehmenskontos
Unternehmensbesitzer können möglicherweise festlegen, dass alle Mitglieder der enterprise die zweistufige Authentifizierung verwenden. Ob Richtlinien für die zweistufige Authentifizierung für GitHub verfügbar sind, hängt davon ab, wie sich Mitglieder für den Zugriff auf deine Unternehmensressourcen authentifizieren.
Wenn in deinem Unternehmen Enterprise Managed Users verwendet oder die SAML-Authentifizierung für das Unternehmen erzwungen wird, kannst du die Zwei-Faktor-Authentifizierung für GitHub nicht konfigurieren. Die zweistufige Authentifizierung für den Identitätsanbieter muss von einem Benutzer mit Administratorzugriff konfiguriert werden.
Weitere Informationen findest du unter Informationen zu SAML für Enterprise IAM und unter Erzwingen von Richtlinien für Sicherheitseinstellungen in deinem Unternehmen.
Konfigurieren eines persönlichen Kontos
Note
Je nachdem, welche Authentifizierungsmethode ein Unternehmensbesitzer konfiguriert hat, kannst du die 2FA für dein persönliches Konto möglicherweise nicht aktivieren.
GitHub unterstützt mehrere Optionen für die Zwei-Faktor-Authentifizierung, und obwohl jede von ihnen besser ist als keine, sind WebAuthn-Anmeldeinformationen die sicherste Möglichkeit. WebAuthn erfordert einen Authentifikator wie einen FIDO2-Hardware-Sicherheitsschlüssel, einen Plattformauthentifikator wie Windows Hello, ein Apple- oder Google-Telefon oder einen Kennwort-Manager. Phishing ist bei anderen Formen der zweistufigen Authentifizierung zwar schwierig, aber möglich (wenn du beispielsweise gebeten wirst, dein sechsstelliges Einmalkennwort vorzulesen). WebAuthn ist jedoch wesentlich widerstandsfähiger gegen Phishing, da in das Protokoll Domain Scoping integriert ist. Dies verhindert, dass Anmeldeinformationen von einer Website, die sich als die Anmeldeseite ausgibt, in GitHub verwendet werden können.
Wenn Sie 2FA einrichten, sollten Sie immer die Wiederherstellungscodes herunterladen und mehr als eine 2FA-Anmeldung einrichten. Dadurch wird sichergestellt, dass der Zugriff auf dein Konto nicht von einem einzelnen Gerät abhängt. Weitere Informationen findest du unter Zwei-Faktor-Authentifizierung konfigurieren und Wiederherstellungsmethoden bei der Zwei-Faktor-Authentifizierung konfigurieren.
Konfigurieren eines Organisationskontos
Note
Je nachdem, welche Authentifizierungsmethode ein Unternehmensbesitzer konfiguriert hat, kannst du die 2FA für deine Organisation möglicherweise nicht vorschreiben.
Als Organisationsinhaberin kannst du erkennen, für welche Benutzerinnen die zweistufige Authentifizierung nicht aktiviert ist. Du kannst ihnen beim Einrichten der zweistufigen Authentifizierung behilflich sein und anschließend festlegen, dass für deine Organisation die zweistufige Authentifizierung verwendet werden muss. Informationen zu dieser Vorgehensweise findest du unter:
- Überprüfen, ob die 2FA für die Benutzer*innen deiner Organisation aktiviert ist
- Vorbereiten auf die Voraussetzung der zweistufigen Authentifizierung in deiner Organisation
- Erfordern der zweistufigen Authentifizierung in deiner Organisation
Herstellen einer Verbindung mit GitHub mithilfe von SSH-Schlüsseln
Es gibt weitere Möglichkeiten, sich mit GitHub bei der Website anzumelden. Viele autorisieren den Code, den sie an GitHub pushen, mit einem privaten SSH-Schlüssel. Weitere Informationen finden Sie unter Informationen zur SSH.
Ein Angreifer, der an deinen privaten SSH-Schlüssel gelangt, kann deine Identität annehmen und böswilligen Code an alle Repositorys pushen, für die du Schreibzugriff hast. Wenn du deinen privaten SSH-Schlüssel in einem Datenträgerlaufwerk speicherst, solltest du ihn mit einer Passphrase zu schützen. Weitere Informationen finden Sie unter SSH-Schlüssel-Passphrasen verwenden.
Eine weitere Option besteht darin, SSH-Schlüssel mit einem Hardwaresicherheitsschlüssel zu generieren. Dabei kann derselbe Schlüssel wie für die zweistufige Authentifizierung verwendet werden. Die Kompromittierung von Hardwaresicherheitsschlüsseln per Fernzugriff ist schwierig, da der private SSH-Schlüssel auf der Hardware verbleibt und über die Software nicht direkt zugänglich ist Weitere Informationen finden Sie unter Generieren eines neuen SSH-Schlüssels und Hinzufügen des Schlüssels zum ssh-agent.
Hardwaregestützte SSH-Schlüssel sind recht sicher, aber die Hardwareanforderung ist für einige Organisationen möglicherweise nicht geeignet. Ein alternativer Ansatz besteht darin, SSH-Schlüssel zu verwenden, die nur für einen kurzen Zeitraum gültig sind. Auch wenn der private Schlüssel kompromittiert wird, kann er nicht lange genutzt werden. Auf diesem Konzept beruht die Unterhaltung einer eigenen SSH-Zertifizierungsstelle. Bei diesem Ansatz kannst du weitgehend festlegen, wie sich Benutzer*innen authentifizieren, jedoch bist du dafür verantwortlich, selbst eine SSH-Zertifizierungsstelle zu unterhalten. Weitere Informationen finden Sie unter Informationen zu SSH-Zertifizierungsstellen.