IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 913
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 913
    Points : 206 625
    Points
    206 625
    Par défaut GitHub n'accepte plus les mots de passe de compte pour l'authentification des opérations Git
    GitHub n'accepte plus les mots de passe de compte pour l'authentification des opérations Git
    et propose aux développeurs une authentification basée sur des jetons

    En juillet 2020, GitHub a annoncé son intention d'exiger l'utilisation d'une authentification basée sur des jetons (par exemple, un accès personnel, un jeton d'installation OAuth ou GitHub App) pour toutes les opérations Git authentifiées. L'équipe avait expliqué :

    « Ces dernières années, les clients de GitHub ont bénéficié d'un certain nombre d'améliorations de la sécurité de GitHub.com, telles que l'authentification à deux facteurs, les alertes de connexion, les appareils vérifiés, la prévention de l'utilisation de mots de passe compromis et la prise en charge de WebAuthn. Ces fonctionnalités rendent plus difficile pour un attaquant de prendre un mot de passe qui a été réutilisé sur plusieurs sites Web et de l'utiliser pour essayer d'accéder à votre compte GitHub. Malgré ces améliorations, pour des raisons historiques, les clients sans authentification à deux facteurs activée ont pu continuer à authentifier les opérations Git et API en utilisant uniquement leur nom d'utilisateur et leur mot de passe GitHub ».

    Aussi, depuis le 13 novembre 2020, GitHub n'accepte plus les mots de passe de compte lors de l'authentification avec l'API REST et exige l'utilisation d'une authentification basée sur des jetons, comme un jeton d'accès personnel (pour les développeurs) ou un jeton d'installation OAuth ou GitHub App (pour les intégrateurs) pour toutes les opérations d'API authentifiées sur GitHub.com.

    Selon elle, l'utilisation de jetons offre un certain nombre d'avantages de sécurité par rapport à l'authentification par mot de passe :
    • Unique : les jetons sont spécifiques à GitHub et peuvent être générés par utilisation ou par appareil
    • Révocable : les jetons peuvent être révoqués individuellement à tout moment sans avoir besoin de mettre à jour les informations d'identification non affectées
    • Limité : les jetons peuvent être limités pour autoriser uniquement l'accès nécessaire au cas d'utilisation
    • Aléatoire : les jetons ne sont pas soumis aux types de tentatives d'attaque par force brute que les mots de passe plus simples que vous devez retenir ou saisir régulièrement pourraient être

    Nom : github.png
Affichages : 5655
Taille : 22,9 Ko

    GitHub a également déprécié l'authentification par mot de passe pour l'authentification avec l'API REST depuis le 13 novembre 2020.

    Dans le même billet datant de juillet 2020 où la mesure a été annoncée, GitHub a donné la chronologie suivante :
    • Aujourd'hui : si vous utilisez des mots de passe pour vous authentifier avec l'API aujourd'hui, vous pouvez recevoir un e-mail vous invitant à mettre à jour votre méthode d'authentification ou votre client tiers.
    • 30 septembre et 28 octobre : un accès personnel ou des jetons OAuth seront temporairement requis pour toutes les opérations d'API afin d'encourager les clients à mettre à jour leur méthode d'authentification.
    • 13 novembre : un accès personnel ou des jetons OAuth seront requis pour toutes les opérations authentifiées avec l'API REST (un jeton d'accès personnel est déjà requis pour l'authentification avec l'API GraphQL).
    • Mi-2021 : un accès personnel ou des jetons OAuth seront requis pour toutes les opérations Git authentifiées.

    Rendu en 2021, GitHub déclare que, depuis le 13 août 2021, il n'accepte plus les mots de passe de compte lors de l'authentification des opérations Git sur GitHub.com. Au lieu de cela, une authentification basée sur des jetons (par exemple, accès personnel, OAuth, clef SSH ou jeton d'installation de l'application GitHub) sera requise pour toutes les opérations Git authentifiées.

    Voici les éléments affectés :
    • Accès Git en ligne de commande
    • Applications de bureau utilisant Git (GitHub Desktop n'est pas affecté)
    • Toutes les applications/services qui accèdent aux référentiels Git sur GitHub.com directement à l'aide de votre mot de passe

    Les clients suivants ne sont pas concernés par ce changement :
    • Si vous avez activé l'authentification à deux facteurs pour votre compte, vous devez déjà utiliser l'authentification basée sur des jetons ou SSH.
    • Si vous utilisez GitHub Enterprise Server, nous n'avons annoncé aucune modification de notre offre sur site.
    • Si vous maintenez une application GitHub, les applications GitHub ne prennent pas en charge l'authentification par mot de passe.

    Si vous utilisez toujours un nom d'utilisateur et un mot de passe pour authentifier les opérations Git, vous devez suivre les étapes suivantes pour éviter toute interruption :
    1. Pour les développeurs, si vous utilisez un mot de passe pour authentifier les opérations Git avec GitHub.com, vous devez commencer à utiliser un jeton d'accès personnel sur HTTPS (recommandé) ou une clef SSH. Si vous recevez un avertissement indiquant que vous utilisez une intégration tierce obsolète, vous devez mettre à jour votre client vers la dernière version.
    2. Pour les intégrateurs, vous devez authentifier les intégrations à l'aide des flux d'autorisation Web ou d'appareil.

    Si vous voulez vous assurer que vous n'utilisez plus l'authentification par mot de passe, vous pouvez activer l'authentification à deux facteurs, qui nécessite OAuth ou des jetons d'accès personnels pour toutes les opérations authentifiées avec Git et des intégrations tierces.

    Si vous avez déjà activé l'authentification à deux facteurs pour votre compte GitHub, vous ne serez en aucun cas affecté par ce changement d'authentification puisque vous utilisez déjà une authentification basée sur des jetons ou SSH.

    GitHub a amélioré la sécurité des comptes au fil des ans en ajoutant une authentification à deux facteurs, des alertes de connexion, des appareils vérifiés, le blocage de l'utilisation de mots de passe compromis et la prise en charge de WebAuthn.

    L'authentification basée sur des jetons pour authentifier les opérations Git augmente la résilience des comptes GitHub contre les tentatives de prise de contrôle en empêchant les attaquants d'utiliser des informations d'identification volées ou des mots de passe réutilisés pour pirater des comptes.

    En mai, GitHub a également ajouté la prise en charge de la sécurisation des opérations SSH Git à l'aide des clefs de sécurité FIDO2 pour une protection supplémentaire contre les tentatives de prise de contrôle.

    Source : GitHub (1, 2, 3)

    Et vous ?

    Que pensez-vous de cette décision ?

  2. #2
    Membre éclairé
    Profil pro
    Inscrit en
    Avril 2008
    Messages
    468
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Avril 2008
    Messages : 468
    Points : 689
    Points
    689
    Par défaut
    Je suis à 100% pour la suppression des mots de passes manuels. C'est AMHA l'une des pires erreurs de l'histoire de l'informatique (comme pouvait l'être le type null sans prise en charge par les systèmes de types)

  3. #3
    Communiqués de presse

    Femme Profil pro
    Rédacteur technique
    Inscrit en
    Mai 2018
    Messages
    2 135
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 34
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Mai 2018
    Messages : 2 135
    Points : 158 406
    Points
    158 406
    Par défaut GitHub n'accepte plus les mots de passe pour l'authentification Git, sécurisez vos comptes avec YubiKey
    GitHub n'accepte plus les mots de passe pour l'authentification Git, les clefs SSH, OAut, jeton d'installation de GitHub App, ou une clef de sécurité matérielle, telle que YubiKey sont désormais exigées

    GitHub a toujours été partisan d'une sécurité renforcée pour ses clients et ses communautés de développeurs. De sa prise en charge la plus récente de l'utilisation des clefs de sécurité U2F et FIDO2 pour SSH, à l'annonce en 2019 de la prise en charge de l'authentification Web (WebAuthn) pour les clefs de sécurité et de la prise en charge du second facteur universel (U2F) en 2015, l'entreprise a continué à donner à ses millions de clients la possibilité de protéger leurs comptes et leurs projets grâce à l'utilisation de l'authentification YubiKey basée sur le matériel.

    Cependant, GitHub a annoncé qu'à partir du 13 août 2021, il n'acceptera plus les mots de passe des comptes d'authentification Git lors de l'authentification des opérations CLI Git et exigera l'utilisation de références d'authentification plus fortes pour toutes les opérations Git authentifiées sur GitHub.com. Cela inclut les clefs SSH (pour les développeurs), OAuth ou le jeton d'installation de GitHub App (pour les intégrateurs), ou une clef de sécurité matérielle, telle qu'une YubiKey.

    Cette annonce s'accompagne également de la poursuite du partenariat entre Yubico et GitHub - ainsi que des YubiKeys en édition limitée à la marque GitHub. Les utilisateurs de GitHub peuvent sécuriser leurs Commits Git en utilisant une clef GPG stockée sur leur YubiKey. C'est un moyen fondamental de s'assurer que les contributions open source sont faites par les bons utilisateurs dans les communautés de développeurs ou les organisations.

    Nom : yubico.png
Affichages : 29398
Taille : 2,5 Ko

    FIDO2, WebAuthn et l'authentification sans mot de passe connaissent une forte impulsion - plus de la moitié (61 %) des organisations interrogées dans un récent rapport de 451 Research et Yubico ont, soit déployé, soit piloté l'authentification sans mot de passe (34 % des répondants ont déjà déployé la technologie sans mot de passe, 27 % la pilotent). GitHub contribue à la réalisation de cet avenir pour ces organisations en prenant en charge FIDO2 et en s'orientant vers un avenir sans mot de passe pour résoudre les problèmes traditionnels de MFA.

    Mais toutes les formes de MFA ne sont pas égales lorsqu'il s'agit de soutenir les organisations dans leur transition vers le sans mot de passe. Les YubiKeys sont conçues pour s'adapter et évoluer avec l'infrastructure de sécurité et peuvent être déployées dans des environnements sans mot de passe (avec les partenaires IAM) sous la forme d'une carte à puce ou d'une clef de sécurité FIDO2, par exemple.


    Source : Yubico

    Et vous ?

    Que pensez-vous de cette décision de GitHub ?
    Que pensez-vous de la sécurisation sans mot de passe ?

    Voir aussi :

    Yubico et Microsoft annoncent la disponibilité générale d'une connexion sans mot de passe pour tous les utilisateurs d'Azure Active Directory (Azure AD), grâce à la Yubikey avec le protocole FIDO2

    Yubico lance la série YubiKey 5 FIPS, les premières clefs de sécurité multi-protocoles validées FIPS 140-2 du marché permettant une authentification sans mot de passe

    Microsoft prévoit de mettre fin au mot de passe en 2021 pour s'appuyer sur de nouvelles méthodes d'authentification comme Windows Hello, Microsoft Authenticator et la biométrie

Discussions similaires

  1. Réponses: 0
    Dernier message: 11/09/2020, 15h09
  2. FF ne retient plus les mots de passe
    Par venomelektro dans le forum Firefox
    Réponses: 9
    Dernier message: 09/10/2008, 21h32
  3. comment crypter les mots de passe?
    Par JauB dans le forum MS SQL Server
    Réponses: 3
    Dernier message: 23/11/2005, 16h37
  4. cacher les mots de passes...
    Par youp_db dans le forum C
    Réponses: 7
    Dernier message: 21/10/2005, 00h06
  5. Le dossier qui stock les mots de passe
    Par cartonis dans le forum Sécurité
    Réponses: 21
    Dernier message: 17/08/2005, 12h49

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo