GitHub, 사용자에 이중 인증 활성화 촉구해

 

 

GitHub urges users to enable 2FA after going passwordless

 

GitHub이 사용자들에게 Git 작업에 대한 비밀번호 기반 인증을 중단 후 2단계 인증(2FA)를 활성화 할 것을 촉구했습니다.

 

GitHub의 최고 보안 책임자인 Mike Hanley는 아래와 같이 밝혔습니다.

 

“아직까지 하지 않으셨다면 시간을 내어 GitHub 계정에 대한 이중 인증을 활성화 하시기 바랍니다. 다단계 인증의 이점은 널리 알려져 있으며, 피싱과 같은 광범위한 공격으로부터 계정을 보호합니다.”

 

Hanley는 물리적 보안 키, 전화 기기, 랩탑에 내장된 가상 보안 키, TOTP(Time-based One-Time Password) 인증 앱을 포함한 GitHub에서 제공하는 여러 이중 인증 옵션 중 하나를 선택해 사용할 것을 권장했습니다.

 

SMS 기반 이중 인증 옵션도 물론 가능하지만, SMS는 공격자가 우회하거나 SMS 이중 인증 토큰을 훔치는 것이 가능하기 때문에 GitHub은 보안 키나 TOTP를 사용할 것을 더욱 권장했습니다.

 

GitHub은 SSH 키 및 Git 커밋 인증에 보안 키를 활성화하는 법을 담은 단계별 영상 가이드를 공개했습니다.

 

 

이중 인증 활성화가 중요한 이유

 

Git 작업에 비밀번호가 없는 인증 방식을 시행할 경우, 공격자가 훔친 크리덴셜이나 비밀번호 재사용 기법을 통해 계정을 탈취하려는 시도를 방지해 GitHub 계정을 더욱 안전하게 보호할 수 있게 됩니다.

 

마이크로소프트의 신상 보안 책임자인 Alex Weinert는 몇 년 전 아래와 같이 밝혔습니다.

 

"비밀번호는 중요하지 않지만 MFA는 중요합니다. 연구에 따르면, MFA를 사용할 경우 계정이 해킹될 가능성이 99.9% 이상 감소합니다. 비밀번호 이외에 인증에 다른 어떤 것들을 사용할 경우 공격자의 비용을 크게 증가시킬 수 있습니다. 이것이 MFA를 사용하는 계정의 해킹률이 일반 인구의 0.1% 미만인 이유입니다.”

 

또한 구글 연구원들은 아래와 같이 밝혔습니다.

 

"단순히 구글 계정에 복구 전화번호를 추가하는 것만으로도 자동화된 봇은 최대 100%, 대규모 피싱 공격은 99%, 타깃 공격은 66%까지 차단할 수 있습니다. 보안 키만을 사용하는 유저는 아무도 타깃 피싱 공격에 피해를 입지 않았습니다.”

 

 

사용자의 계정을 보호하려는 GitHub의 노력

 

GitHub은 지난주 사용자에게 8월 13일부터 더 이상 Git 작업을 인증하는 데 비밀번호를 사용할 수 없음을 알렸습니다.

 

이러한 변화는 지난 2020년 7월 GitHub에서 인증된 Git 작업은 SSH 키 또는 토큰 기반 인증을 통해 보호해야한다고 처음 발표되었습니다.

 

또한 GitHub은 지난 2020년 11월 REST API를 통한 비밀번호 인증을 비활성화하고, 2021년 5월 SSH Git 작업을 보호하기 위해 FIDO2 보안 키를 지원하기 시작했습니다.

 

또한 2단계 인증, 로그인 알림, 인증된 기기, 해킹된 비밀번호 사용 차단 및 WebAuthn 지원을 추가하여 계정에 대한 보안을 수 년에 걸쳐 개선했습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/github-urges-users-to-enable-2fa-after-going-passwordless/

https://docs.github.com/en/github/authenticating-to-github/securing-your-account-with-two-factor-authentication-2fa/configuring-two-factor-authentication