Für erste GitHub-User beginnt die 2FA-Pflicht bereits im März. Bis Ende des Jahres müssen sich alle Accounts vom rein passwortbasierten Zugriff verabschieden.
Bis Ende des Jahres müssen alle GitHub-Accounts auf Zwei-Faktor-Authentifizierung (2FA) umgestellt sein. Nun hat GitHub angekündigt, ab März für erste Accounts die Anmeldung über Username und Passwort abzuschaffen.
Die allgemeine 2FA-Pflicht ab Ende 2023 hatte GitHub im Mai 2022 angekündigt. Die Maßnahme soll die Übernahme von nur passwortgeschützten Repositories durch Phishing und Co verhindern. Die Plattformbetreiber empfehlen 2FA bereits seit Längerem, und auch andere Dienste wie die Paketmanager npm für JavaScript, RubyGems.org für Ruby und PyPI für Python schreiben Zwei-Faktor-Authentifizierung zumindest für die am häufigsten genutzten Pakete vor.
Erste Accounts ab Mitte März in der Pflicht
Jetzt hat GitHub angekündigt, erste Developer ab dem 13. März zur Zwei-Faktor-Authentifizierung zu verpflichten. Die schrittweise Einführung von 2FA soll für eine reibungslose Umstellung sorgen. Das Team will auf die Weise rechtzeitig auf Schwierigkeiten reagieren und eventuell den Prozess bis zum Ende des Jahres anpassen.
Wer zur ausgewählten Gruppe gehört, erhält eine E-Mail und bekommt zusätzlich auf GitHub.com einen Banner mit dem Hinweis auf die anstehende 2FA-Pflicht angezeigt. Ab der ersten Benachrichtigung gilt eine Frist von 45 Tagen für die Umstellung.
Gnadenfrist und Sicherheitsnetz
Wer die Deadline verstreichen lässt, hat noch eine siebentägige Übergangsfrist, die mit dem ersten Einloggen beginnt. Das soll verhindern, dass jemand beispielsweise nach einem Urlaub von seinem Account ausgesperrt ist. Nach sieben Tagen ist der Zugriff auf GitHub so lange gesperrt, bis die Betroffenen die Zwei-Faktor-Authentifizierung einrichten.
Als Sicherheitsmaßnahme führt GitHub vier Wochen nach dem Aktivieren der 2FA-Anmeldung einen Check durch, ob die Anmeldung reibungslos funktioniert. Sollte das nicht der Fall sein, greift ein Fallback-Mechanismus zum Rücksetzen der 2FA-Einrichtung, ohne dass die Betroffenen von ihrem Account ausgesperrt werden.
Wer später den Zugang zu seinen 2FA-Methoden verliert, kann nicht mehr auf seinen Account zugreifen. Allerdings bietet GitHub für den Fall die Option an, die mit dem GitHub-Account verknüpfte E-Mail-Adresse freizugeben, damit sie für einen neuen Account verwendet werden kann.