GitHub passkeys generally available for passwordless sign-ins
2023/09/21 BleepingComputer −−− 9月21日に GitHub が公開した Passkeys により、すべてのユーザーのパスワードレス・ログインが、このプラットフォーム全体で利用可能となり、フィッシングからアカウントが保護されるようになる。Passkeys は、コンピューター/タブレット/スマートフォンなどのデバイスにリンクされ、フィッシング攻撃からの保護や、不正アクセスの阻止を提供することで、データ漏洩のリスクを低減するという重要な役割を担っている。また、Passkeys は、暗証番号や指紋/顔認証などの生体認証といった、個人識別方法を通じて、アプリやオンライン・サービスへのアクセスを容易にする。
Passkeys により、Web サイト/アプリごとに異なるパスワードを、記憶/管理する必要がなくなるため、ユーザー・エクスペリエンスとセキュリティが大幅に向上する。
2023年7月に GitHub は、パスワードレス認証のパブリック・ベータ版の一環として、Passkeys サポートを導入した。
9月21日 (木) に、GitHub の Staff Product Manager である Hirsch Singhal は、「7月にベータ版が提供されてから、何万人もの開発者が Passkeys を採用している。GitHub.com の全ユーザーは、自身のアカウントを保護するために Passkeys を利用できる。2023年末までに、すべてのコントリビューターを 2FA で保護し、ユーザー・エクスペリエンスを損なうことなく、プラットフォーム全体のセキュリティを強化するという、我々のコミットメントを継続していく」と述べている。
Passkeys を登録する際には (単数/複数にかかわらず)、ユーザー・アカウントのセキュリティ設定を開き、”Add a passkey” オプションをクリックする。以前にセキュリティ・キーを設定したことがある場合には、”Upgrade” オプションが表示されるかもしれない。
Apple/Google/Microsoft が、それぞれのプラットフォーム上で、Passkeys サポートの改善のための協調している。この GitHub による展開は、それに続くものだ。
今日、Microsoft も、9月26日に予定されている Windows 11 22H2 アップデートから、モバイル端末に保存された Passkeysを使って、Web サイトやアプリへのログインをセキュアにすると発表している。
Google も Passkeys について発表しているが、その内容は、iOS デバイスで作成され、iCloud キーチェーン経由でMacデバイスに同期された Passkeys を使って、Chrome 118 ユーザーが Web サイトにログインできるようにするというものだ。
本日の GitHub の発表は、3月13日から、すべてのアクティブな開発者に対して、二要素認証 (2FA) を義務付けたことを受けて行われた。
GitHub は数年前から、サインイン・アラート/二要素認証 (2FA)/漏洩パスワードのブロックなどを実装し、アカウントのセキュリティを強化してきた。
Apple/Google/Microsoft に続いて、GitHub でも Passkeys がサポートされたという朗報です。このところ、2023/09/15 の「時代遅れの認証ストラテジー:依然としてユーザー企業に残り続ける」や、2023/09/16 の「MFA に対する本質的な問題提起:Okta が護れなかった MGM Resorts インシデントとは?」などで指摘されていた問題が、少しずつ改善されています。ただし、Passkeys により、OSS リポジトリ汚染が解消するという話ではありません。詳しくは、2023/09/13 の「CISA がオープンソース保護を本格化:セキュリティ・ロードマップを発表」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.