Hinweis: Ab März 2023 und bis Ende 2023 wird GitHub nach und nach von alle Benutzer*innen, die Code auf GitHub.com beitragen, die Aktivierung einer oder mehrerer Formen der Zwei-Faktoren-Authentifizierung (2FA) verlangen. Wenn du einer berechtigten Gruppe angehörst, wirst du per E-Mail benachrichtigt, wenn diese Gruppe für die Registrierung ausgewählt wurde. Ab diesem Zeitpunkt beginnt eine 45-tägige Anmeldefrist für 2FA, und auf GitHub.com werden Banner angezeigt, die dich zur Registrierung für 2FA auffordern. Wenn du keine Benachrichtigung erhältst, gehörst du keiner Gruppe mit verpflichtender 2FA-Registrierung an, aber wir empfehlen dies ausdrücklich.
Informationen zur Berechtigung zur obligatorischen 2FA
Ihr Konto ist zur obligatorischen 2FA vorgesehen, wenn Sie eine Aktion für GitHub ausgeführt haben, die zeigt, dass Sie ein Teilnehmer sind. Die berechtigten Aktionen enthalten:
- Veröffentlichen einer App oder Aktion für andere.
- Erstellen einer Freigabe für Ihr Repository.
- Ein Beitrag zu bestimmten Repositorys mit hoher Wichtigkeit, z. B. zu den Projekten, die von der Open Source Security Foundation nachverfolgt werden.
- Die Administrator-Rolle in Hinblick auf ein Repository mit hoher Wichtigkeit.
- Die Organisationsbesitzer-Rolle für eine Organisation, die Repositorys oder andere Benutzer enthält.
- Anzeigen von Unternehmensadministratoren
GitHub prüft ständig Verbesserungen unserer Kontosicherheitsfunktionen und 2FA-Anforderungen, so dass sich diese Kriterien im Laufe der Zeit ändern können.
Hinweis: Wenn für Ihr Konto ein Education-Gutschein aktiv ist, ist es von der 2FA-Pflicht ausgenommen.
Informationen zur obligatorischen 2FA für Organisationen und Unternehmen
Die obligatorische 2FA wird von GitHub selbst gefordert, um die Sicherheit sowohl für einzelne Developer als auch für das breitere Ökosystem der Softwareentwicklung zu verbessern. Ihr Administrator kann auch die Aktivierung von 2FA als Voraussetzung für die Teilnahme an seiner Organisation oder seinem Unternehmen anfordern, aber diese Anforderungen sind von diesem Programm unabhängig. Um herauszufinden, welche Benutzer 2FA aktiviert haben oder dazu verpflichtet sind, siehe „Anzeigen von Personen in deinem Unternehmen“ oder „Überprüfen, ob die 2FA für die Benutzer*innen deiner Organisation aktiviert ist“.
Die Berechtigung Ihres Kontos für die obligatorische 2FA hat keine Auswirkungen auf die Berechtigung anderer Personen. Wenn Sie beispielsweise der Besitzer einer Organisation sind und Ihr Konto für die obligatorische 2FA berechtigt ist, hat dies keine Auswirkungen auf die Berechtigung anderer Konten innerhalb Ihrer Organisation.
Hinweis: GitHub Enterprise Managed Users und On-Premise-Benutzer GitHub Enterprise Server müssen 2FA nicht aktivieren. Die obligatorische 2FA-Aktivierung gilt nur für Benutzer mit einem Passwort auf GitHub.com.
Informationen Fehler beim Aktivieren der obligatorischen 2FA
Wenn Sie 2FA nicht innerhalb des 45-tägigen Einrichtungszeitraums aktivieren und die 7-tägige Toleranzperiode ablaufen lassen, können Sie nicht auf GitHub.com zugreifen, bis Sie 2FA aktivieren. Wenn Sie versuchen, auf GitHub.com zuzugreifen, werden Sie aufgefordert, 2FA zu aktivieren.
Wenn Sie die obligatorische 2FA nicht aktivieren, funktionieren die zu Ihrem Konto gehörenden Token weiterhin, da sie für wichtige Automatisierungen verwendet werden. Zu diesen Token gehören personal access tokens und OAuth-Tokens, die an Anwendungen ausgegeben werden, die in Ihrem Namen handeln. Durch die Aktivierung von 2FA wird das Verhalten der für Ihr Konto ausgestellten Token weder widerrufen noch verändert. Gesperrte Konten können jedoch keine neuen Anwendungen autorisieren oder neue PATs erstellen, bis sie 2FA aktiviert haben.
Informationen zu angeforderten 2FA-Methoden
Wir empfehlen die Einrichtung einer zeitbasierten Einmalkennwort-App (TOTP) als primäre 2FA-Methode und das Hinzufügen eines Hauptschlüssels oder Sicherheitsschlüssels als Backup. Wenn Sie keinen Haupt- oder Sicherheitsschlüssel haben, ist die App GitHub Mobile ebenfalls eine gute Backup-Option. SMS sind in den meisten Ländern zuverlässig, bergen aber Sicherheitsrisiken, mit denen einige Gefahrenmodell nicht zurechtkommen.
Derzeit unterstützen wir keine Haupt- oder Sicherheitsschlüssel als primäre 2FA-Methoden, da sie leicht verloren gehen können und die Synchronisierung mit einer Vielzahl von Geräten nicht unterstützen. Sollten sich Hauptschlüssel weiter verbreiten und die Synchronisierung immer häufiger unterstützt wird, werden wir sie als primäre Methode unterstützen.
- Informationen zu TOTP-Apps und der obligatorischen 2FA
- Informationen zu SAML-SSO und der obligatorischen 2FA
- Informationen zur E-Mail-Überprüfung und der obligatorischen 2FA
Hinweis: Wir empfehlen, Cookies auf GitHub.com zu speichern. Wenn Sie Ihren Browser so einstellen, dass Ihre Cookies jeden Tag gelöscht werden, haben Sie nie ein verifiziertes Gerät für die Wiederherstellung Ihres Kontos, da das _device_id Cookie verwendet wird, um sicher zu beweisen, dass Sie das Gerät zuvor verwendet haben. Weitere Informationen findest du unter Dein Konto beim Verlust der 2FA-Anmeldeinformationen wiederherstellen.
Informationen zu TOTP-Apps und der obligatorischen 2FA
TOTP-Apps sind der empfohlene 2FA-Faktor für GitHub. Weitere Informationen zum Konfigurieren von TOTP-Apps finden Sie unter „Zwei-Faktor-Authentifizierung konfigurieren“.
Wenn Sie keine App auf Ihr mobiles Gerät herunterladen möchten, gibt es mehrere Optionen für eigenständige TOTP-Apps, die plattformübergreifend ausgeführt werden. Für Desktopanwendungen empfehlen wir KeePassXC und für browserbasierte Plug-ins 1Password.
Sie können auch jede App, die einen mit RFC 6238 kompatiblen Code generiert, manuell einrichten. Weitere Informationen zum manuellen Einrichten einer TOTP-App finden Sie unter „Zwei-Faktor-Authentifizierung konfigurieren“. Weitere Informationen zu RFC 6238 finden Sie unter TOTP: Time-Based One-Time Password Algorithm „TOTP: Zeitbasierter Einmalkennwort-Algorithmus“ in der IETF-Dokumentation.
Hinweis: Wenn Sie FreeOTP für die 2FA verwenden, wird möglicherweise eine Warnung zu schwachen kryptografischen Parametern angezeigt. GitHub verwendet einen geheimen 80-Bit-Schlüssel, um die Kompatibilität mit älteren Versionen von Google Authenticator sicherzustellen. 80 Bits sind niedriger als die von HOTP RFC empfohlenen 128 Bits, aber zu diesem Zeitpunkt haben wir keine Pläne, dies zu ändern, und empfehlen, diese Nachricht zu ignorieren. Weitere Informationen finden Sie unter TOTP: Time-Based One-Time Password Algorithm „HOTP: Ein HMAC-basierter Einmalkennwortalgorithmus“ in der IETF-Dokumentation.
Informationen zu SAML-SSO und der obligatorischen 2FA
Wenn Sie für die obligatorische 2FA ausgewählt wurden, müssen Sie sich zur 2FA auf GitHub.com anmelden, auch wenn Ihr Unternehmen bereits Single Sign-On (SSO) mit 2FA verlangt. SSO mit 2FA ist zwar eine leistungsstarke Methode zum Schutz von Ressourcen, die sich im Besitz der Organisation oder des Unternehmens befinden, schützt aber weder die Inhalte, die sich im Besitz des Benutzers befinden, auf GitHub.com, die nichts mit der Organisation oder dem Unternehmen zu tun haben, noch das Profil und die Einstellungen des Benutzers.
Bei GitHub müssen Sie 2FA nur bei der Erstauthentifizierung und bei sensiblen Aktionen durchführen. Selbst wenn Sie also jeden Tag eine unternehmensweite 2FA durchführen müssen, um auf GitHub zuzugreifen, werden Sie selten ein zweites Mal 2FA über GitHub durchführen müssen. Weitere Informationen zu sensiblen Aktionen findest du unter „Sudo-Modus“.
Informationen zur E-Mail-Überprüfung und der obligatorischen 2FA
Wenn Sie sich bei GitHub.com anmelden, zählt die E-Mail-Überprüfung nicht als 2FA. Die E-Mail-Adresse Ihres Kontos wird für Kennwortzurücksetzungen verwendet, bei denen es sich um eine Form der Kontowiederherstellung handelt. Wenn ein Angreifer Zugriff auf Ihren E-Mail-Posteingang hat, kann er das Kennwort für Ihr Konto zurücksetzen und die Überprüfung des E-Mail-Geräts bestehen, wodurch der Schutz Ihres Kontos auf einen einzelnen Faktor reduziert wird. Wir benötigen einen zweiten Faktor, um dieses Szenario zu verhindern, wobei sich der zweite Faktor von Ihrem E-Mail-Posteingang unterscheiden muss. Wenn Sie die 2FA aktivieren, führen wir die E-Mail-Überprüfung bei der Anmeldung nicht mehr durch.
Informationen zu Dienstkonten und verpflichtender 2FA
Unbeaufsichtigte oder gemeinsam genutzte Zugriffskonten in Ihrer Organisation, wie z. B. Bots und Dienstkonten, die für die verpflichtende Zwei-Faktor-Authentifizierung ausgewählt wurden, müssen sich für 2FA anmelden. Durch die Aktivierung von 2FA wird das Verhalten der für das Dienstkonto ausgestellten Token weder widerrufen noch verändert. GitHub empfiehlt, das TOTP-Geheimnis des Dienstkontos sicher im gemeinsam genutzten Anmeldedatenspeicher zu speichern. Weitere Informationen findest du unter Verwalten von Bots und Dienstkonten mit zweistufiger Authentifizierung.
Informationen zu Ihrem Datenschutz mit obligatorischer 2FA
Wenn Sie für die obligatorische 2FA ausgewählt wurden, bedeutet dies nicht, dass Sie GitHub mit Ihrer Telefonnummer angeben müssen. Sie müssen Ihre Telefonnummer nur angeben, wenn Sie für die 2FA SMS verwenden. Stattdessen wird empfohlen, eine TOTP-App als primäre 2FA-Methode zu konfigurieren. Weitere Informationen findest du unter Zwei-Faktor-Authentifizierung konfigurieren.
Hinweis: Ihre Region ist möglicherweise nicht in den verfügbaren SMS-Optionen gelistet. Wir überwachen die Erfolgsraten der SMS-Zustellung pro Region und lassen die Einrichtung für Regionen mit schlechten Zustellungsraten nicht zu. Wenn Ihre Region in der Liste nicht angezeigt wird, müssen Sie stattdessen eine TOTP-App einrichten. Weitere Informationen zu unterstützten Regionen für SMS finden Sie unter „Länder, in denen die SMS-Authentifizierung unterstützt wird“.