GitHub は、Web 認証 (WebAuthn) セキュリティ標準のサポートを発表しました。
GitHub はすでに、SMS テキスト (電話番号が乗っ取られ、SMS メッセージが傍受される可能性があることを考慮すると、最も安全性の低いオプション)、ワンタイム パスワード認証アプリ、または U2F (Universal Second Factor) セキュリティ キーによる 2 要素認証 (2FA) をサポートしています。
ただし、U2F は古い標準であり、今年 3 月に World Wide Web Consortium (W3C) が FIDO Alliance の FIDO2 仕様セットの一部である WebAuthn 仕様を承認しました。
WebAuthn への移行により、GitHub は Windows、macOS、Linux、Android 上の Firefox や Chrome などのブラウザー、macOS 上の Safari のプレビュー バージョン、iOS 上の Brave と YubiKey 5Ci を介して物理的なセキュリティ キーをサポートすることになります。
物理的なセキュリティキーでGitHubアカウントを保護する
また、Windows Hello、macOS の Touch ID、または Android の指紋リーダーを使用して、ラップトップまたはスマートフォンをセキュリティ キーとして選択するオプションも用意されています。
GitHubは現在、セキュリティキーを補助的なオプションとしてのみサポートしており、SMSまたは認証アプリを使用して2FAを設定した後に利用できます。ただし、GitHubはセキュリティキーを主要なオプションにすること、あるいはパスワードレスログインを可能にすることを検討しています。
2FAの潜在的な危険性として、アカウントがロックアウトされるリスクがあります。GitHubでは、2FA設定時に表示されるリカバリコードを印刷したりパスワードマネージャーにコピーしたり、Google AuthenticatorやMicrosoft Authenticatorとは異なり、キーのバックアップが可能な認証アプリの使用を推奨するなど、いくつかの回避策を提供しています。
GitHubアカウントのセキュリティ確保は最優先事項です。なぜなら、侵害によって悪意のある人物が、複数の開発者が利用するアプリケーション、ウェブサイト、またはライブラリのコードにバックドア、パスワード窃盗ツール、その他のマルウェアを挿入する可能性があるからです。最近、Ruby Gemパッケージでマルウェアが発見されました。これは、ハッキングされた開発者アカウントが原因と考えられています。®
