GitHub goes passwordless, announces passkeys beta preview
2023/07/12 BleepingComputer — 7月12日に GitHub は、パブリック・ベータ版でパスワードレス認証のサポートを導入し、ユーザーがセキュリティ・キーから Passkeys にアップグレードできるようにしたと発表した。この Passkeys は、コンピュータ/タブレット/スマートフォンなどの個々のデバイスに紐づけられ、クレデンシャルの盗難や漏えいの試みを防止する。それによりフィッシング攻撃からユーザーを保護し、データ侵害の可能性を最小限に抑える上で、重要な役割を果たす。
また、個人識別番号 (PIN) /顔認識/指紋などの生体認証方法で、アプリケーションやオンライン・プラットフォームにログインすることも可能だ。アプリや Web サイトごとに固有のパスワードを覚えて管理する必要がなくなるため、ユーザー・エクスペリエンスとセキュリティも大幅に向上する。
7月12日に GitHub の Staff Product Manager である Hirsch Singhal は、「現時点で Passkeys は、パブリック・ベータ版で利用可能だ。オプトインすることでセキュリティ・キーを Passkeys にアップグレードし、パスワードと 2FA の代わりとして使用できる」と述べている。
自分のアカウントで Passkey を利用するには、GitHub のページのプロフィール写真をクリックして “Feature Preview” メニューを開き、”Enable passkeys” オプションをクリックして有効化する必要がある。
Singhal は、「ユーザーは、次にセキュリティ・キーでサインインするときに、Passkeys にアップグレードするかどうかを尋ねられる。Passkeys はプライバシーを保護するものなので、アップグレード・フローの間に何度か Passkeys を起動する必要があるかもしれない。しかし一度設定すれば、パスワードレスの準備は万端だ」とコメントしている。
基本的なパスワード・ベースの認証からの移行は、ソフトウェアのサプライチェーンのセキュリティを強化するために GitHub がとった、新たな対策の1つだ。
この 7月12日の発表は、GitHub のプラットフォームを利用する全てのアクティブな開発者に、3月13日以降に二要素認証 (2FA) を義務付けたことを受けて行われた。これまで同サービスは、Git 操作の認証のためのアカウント・パスワードを段階的に廃止し、Eメールによるデバイス認証の導入を行ってきた。
GitHub は 2020年11月に REST API のパスワード認証を無効化し、2021年5月には SSH での Git 操作を安全にするために、FIDO2 セキュリティ・キーのサポートを導入した。
また、この間に GitHub は、二要素認証とサインインアラートの実装/漏洩したパスワードの使用ブロック/WebAuthn サポートの追加などの、アカウントのセキュリティ対策を強化してきた。
Singhal は、「GitHub の認証方法において、柔軟性/信頼性/安全性を提供し続けられることを喜ばしく思う」とコメントしている。
また、5月には Google が、パスワードの入力や2段階認証 (2SV) を用いずにアカウントにログインできるようにするために、すべてのサービスとプラットフォームで Google アカウントの Passkeys サポートを展開することを発表した。
さらに、6月には Microsoft が、Windows Hello 用の Passkeys マネージャーを追加し、生体認証を使ったログインをより安全にすることで、Windows 11 での Passkey のサポートを拡大した。
Passkey が GitHub にまで広がるという、嬉しいニュースです。これまで、この領域では Google の発表が先行していましたが、今後のさらなる広がりを期待してしまいます。よろしければ、Passkeys で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.