GitHub verlangt jetzt 2FA
Seit 2024 verlangt GitHub von allen Entwicklern, die Code beitragen, die Zwei-Faktor-Authentifizierung zu aktivieren. Wenn du sie noch nicht eingerichtet hast, hast du wahrscheinlich Erinnerungen gesehen. Auch wenn du es irgendwie nicht getan hast, lohnt es sich. Dein GitHub-Account hat wahrscheinlich Zugriff auf private Repositories, Deployment-Pipelines und Anmeldedaten, die du wirklich nicht preisgeben willst.
Die Einrichtung von TOTP-basierter 2FA (die Authenticator-App-Art) dauert etwa zwei Minuten. Hier ist, wie es geht.
Wenn du Hintergrund darüber willst, wie Authenticator-Codes funktionieren, schau dir Was ist TOTP? an.
Was du brauchen wirst
- Einen GitHub-Account
- Eine Authenticator-App (Google Authenticator, Authy, 1Password, Bitwarden oder jede TOTP-kompatible App)
Schritt-für-Schritt-Einrichtung
1. Öffne deine Einstellungen
Klicke auf dein Profilfoto oben rechts auf jeder GitHub-Seite, dann klicke auf Einstellungen.
2. Gehe zu “Passwort und Authentifizierung”
In der linken Seitenleiste, unter “Zugriff,” klicke auf Passwort und Authentifizierung.
3. Klicke auf “Zwei-Faktor-Authentifizierung aktivieren”
Du siehst einen Abschnitt für Zwei-Faktor-Authentifizierung. Klicke auf den Button, um sie zu aktivieren. GitHub wird dich möglicherweise bitten, dein Passwort zu bestätigen.
4. Wähle “Einrichtung mit einer App”
GitHub gibt dir die Option, eine Authenticator-App oder SMS zu nutzen. Nimm die Authenticator-App. Sie ist sicherer und hängt nicht vom Mobilfunk ab.
5. Scanne den QR-Code
GitHub zeigt einen QR-Code an. Öffne deine Authenticator-App, füge einen neuen Account hinzu und scanne ihn.
Wenn du den Code nicht scannen kannst, klicke auf “Setup-Schlüssel”, um das Geheimnis als Klartext zu sehen. Du kannst dies manuell in deine Authenticator-App tippen.
Eine Sache zu beachten: GitHub zeigt dir den Setup-Schlüssel in einem bestimmten Format an. Kopiere ihn exakt, einschließlich aller Leerzeichen oder Gruppierungen, je nachdem, was deine App erwartet. Die meisten Apps kommen beides gut zurecht.
6. Gib den Verifizierungs-Code ein
Deine Authenticator-App zeigt einen 6-stelligen Code an. Gib ihn bei GitHub ein und klicke auf Weiter.
7. Speichere deine Wiederherstellungs-Codes
GitHub generiert eine Reihe von Wiederherstellungs-Codes. Das ist der Bildschirm, den die Leute übergehen, aber du solltest das nicht tun.
Jeder Wiederherstellungs-Code ist ein Einmal-Code, der dich einloggen lässt, falls du den Zugriff auf deine Authenticator-App verlierst. Lade sie herunter, drucke sie aus, oder speichere sie in deinem Passwort-Manager. Lass sie nicht einfach in deinem Browser-Downloads-Ordner liegen.
GitHub wird dich bitten zu bestätigen, dass du sie gespeichert hast, bevor die Einrichtung abgeschlossen wird.
SSH-Schlüssel und 2FA
Eine Sache, die die Leute überrascht: Das Aktivieren von 2FA ändert, wie die Git-Authentifizierung über HTTPS funktioniert.
Nachdem du 2FA eingeschaltet hast, kannst du dein GitHub-Passwort für HTTPS-Git-Operationen nicht mehr nutzen. Du wirst entweder brauchen:
- Ein Personal Access Token (PAT) anstelle deines Passworts für HTTPS
- SSH-Schlüssel, die von 2FA überhaupt nicht betroffen sind
Wenn du bereits SSH zum Pushen und Pullen nutzt, ändert sich nichts. Wenn du HTTPS nutzt, musst du ein Personal Access Token erstellen (Einstellungen > Entwicklereinstellungen > Personal Access Tokens) und das als Passwort verwenden, wenn Git nach Anmeldedaten fragt.
Alternativ übernimmt die GitHub CLI (gh auth login) all das für dich und ist wahrscheinlich die schmerzfreieste Option.
Passkeys als zweiter Faktor
GitHub unterstützt auch Passkeys, die sowohl als Passwort als auch als zweiter Faktor dienen können. Wenn das dich interessiert, kannst du einen neben deiner Authenticator-App von derselben “Passwort und Authentifizierung”-Einstellungsseite aus einrichten.
Beide eingerichtet zu haben gibt dir Flexibilität. Wenn dein Telefon ausfällt, kannst du deinen Passkey nutzen. Wenn dein Passkey-Gerät nicht verfügbar ist, kannst du deine Authenticator-App nutzen. Redundanz ist hier dein Freund.
2FA nach der Einrichtung verwalten
Du kannst jederzeit zurück zu Einstellungen > Passwort und Authentifizierung gehen, um:
- Deine Wiederherstellungs-Codes anzusehen oder neu zu generieren (tu das, wenn du welche benutzt hast)
- Zusätzliche Authenticator-Apps oder Sicherheitsschlüssel hinzuzufügen
- Fallback-SMS zu konfigurieren (nützlich als letzter Ausweg)
Wenn du Teil einer Organisation bist, die 2FA erzwingt, kann der Verlust deines Zweitfaktors dich aussperren von den Repositories deiner Organisation, bis du dich erneut authentifiziert hast. Halte deine Wiederherstellungs-Codes aktuell.
Kurze Zusammenfassung
- Einstellungen > Passwort und Authentifizierung > Zwei-Faktor-Authentifizierung aktivieren
- Wähle Authenticator-App, scanne den QR-Code
- Gib den 6-stelligen Code zur Verifizierung ein
- Lade deine Wiederherstellungs-Codes herunter und speichere sie
- Wenn du HTTPS für Git nutzt, wechsle zu einem Personal Access Token oder SSH
Es dauert zwei Minuten, und GitHub wird dich sowieso nicht mehr lange damit herauszögern lassen.
Willst du sehen, wie TOTP-Codes funktionieren, bevor du Dinge einrichtest? Du kannst mit einem Generator auf 2fa.zip spielen – er ist browserbasiert und sendet nichts an einen Server.