Toolinux Linto.AI OpenPAAS OBM Hubl.IN Linagora

C’est le moment de réviser votre mot de passe GitHub

lundi 6 août 2018

GitHub annonce de nouvelles améliorations en matière de sécurité et de récupération des mots de passe, notamment grâce à une application de 2FA.

Désormais, GitHub encourage ses utilisateurs à autoriser l’authentification a deux facteurs (2FA). Deux nouvelles fonctionnalités arrivent « pour aider la communauté à trouver le juste équilibre entre sécurité, facilité d’utilisation et possibilité de récupération de leurs comptes. »

Des mots de passe plus forts

Il y a quelques années, Troy Hunt, un chercheur en sécurité, concentra ses recherches sur le problème de la compromission des mots de passe avec HaveIBeenPwned.fr. Troy Hunt a ainsi lancé un service utilisable par tous sur lequel chacun peut vérifier si son mot de passe a été compromis, il a également généreusement rendu disponibles au téléchargement approximativement 517 millions de jeux de données.

En utilisant ces données, GitHub a créé une version interne de ce service pour pouvoir vérifier si le mot de passe d’un utilisateur a été découvert dans n’importe quel set de données provenant d’une faille de sécurité.

Aujourd’hui, les utilisateurs utilisant des mots de passe corrompus vont pouvoir sélectionner différents mots de passe à leur connexion ou à leur inscription sur GitHub, mais également s’ils décident de changer de mot de passe.

L’authentification à deux-facteurs (2FA)

Si l’authentification à double-facteur est autorisée, GitHub peut désormais rappeler aux utilisateurs de vérifier leurs réglages du 2FA ainsi que les options de récupération. GitHub recommande d’utiliser une application de 2FA qui supporte les sauvegardes dans le cloud au cas où le téléphone de l’utilisateur serait perdu, volé ou bien tombé dans l’océan.

Recommandation : s’assurer d’avoir la possibilité de récupérer les accès au compte même en cas de perte d’accès au support de 2FA. Avoir une clé U2F (Universal Second Factor) est un plus en matière de sécurité au même titre que de s’assurer que les codes de backup 2FA sont dans un endroit sécurisé tel qu’un gestionnaire de mot de passe. GitHub recommande également de relier son compte Facebook via Recover Accounts Elsewhere.