This post is also available in: Português
O GitHub adicionou suporte para proteger as operações SSH Git, usando chaves de segurança FIDO para proteção adicional contra tentativas de controle de conta.
Para um melhor entendimento, primeiramente vamos explicar alguns termos.
O GitHub é uma plataforma de hospedagem de código-fonte e arquivos com controle de versão usando o Git. Ele permite que programadores, utilitários ou qualquer usuário cadastrado na plataforma contribua em projetos privados e/ou Open Source de qualquer lugar do mundo.
Já o Git se trata de um sistema de controle de versões distribuído, usado principalmente no desenvolvimento de software, mas pode ser usado para registrar o histórico de edições de qualquer tipo de arquivo.
E o SSH (Secure Shell) é um protocolo que garante que cliente e servidor remoto troquem informações de maneira segura e dinâmica. O processo é capaz de criptografar os arquivos enviados ao diretório do servidor, garantindo que alterações e o envio de dados sejam realizados da melhor forma.
Há dois anos, pesquisadores da North Carolina State University (NCSU) descobriram que mais de 100.000 repositórios de GitHub vazaram tokens de API e chaves criptográficas (SSH e TLS) após escanear cerca de 13% dos repositórios públicos do GitHub em quase seis meses.
Além disso, eles também descobriram que milhares de novos repositórios também vazavam segredos diariamente.
Com o recurso recém adicionado do GitHub, agora é possível utilizar dispositivos FIDO portáteis para autenticação SSH, para proteger as operações do Git e evitar exposição acidental de chave privada e solicitações de inicialização de malware sem aprovação do usuário.
Segundo Kevin Jones, engenheiro de segurança sênior do GitHub:
“Depois de geradas, você adiciona essas novas chaves à sua conta como qualquer outra chave SSH. Você ainda criará um par de chaves pública e privada, mas bits secretos são gerados e armazenados na chave de segurança, com a parte pública armazenada em sua máquina como qualquer outra chave pública SSH”.
Embora uma chave privada seja armazenada em seu computador, esta é apenas uma referência à sua chave de segurança física, que é inútil sem ter acesso ao dispositivo real.
Jones ainda diz:
“Ao usar SSH com uma chave de segurança, nenhuma das informações confidenciais sai do dispositivo de chave de segurança física. Se você é a única pessoa com acesso físico à sua chave de segurança, é seguro deixa-la conectada o tempo todo”.
Para aumentar ainda mais a resiliência de sua conta GitHub contra tentativas de controle, é necessário substituir todas as chaves SSH registradas anteriormente por chaves SSH apoiadas por chaves de segurança.
Isso vai garantir que você seja o único capaz de gerenciar os dados Git de seus projetos por SSH enquanto sua chave de segurança FIDO está sob seu controle.
Usar apenas chaves SSH apoiadas por dispositivos FIDO significa que você não terá que rastrear todas as chaves SSH geradas, pois elas são inúteis sem acesso à chave de segurança com a qual estão emparelhadas.
Além disso, o GitHub remove automaticamente todas as chaves SSH inativas (aquelas que não são utilizadas há mais de um ano) de sua conta, tornando o gerenciamento de chaves muito mais fácil se você estiver trabalhando em vários dispositivos ou se tiver perdido um deles.
Para mudar para o novo fluxo de trabalho de operações SSH Git, é necessário fazer login em sua conta GitHub, gerar uma nova chave SSH para uma chave de segurança hardware e adicioná-la à sua conta.
This post is also available in: Português
