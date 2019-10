Der Docker-Hub, die bisher zentrale Anlaufstelle zum Bezug von Container-Images, kann nun TOTP-Codes (Time-based One-time Password) als zweiten Faktor (2FA) abfragen. Damit rüstet Docker Inc. ein lange gewünschtes Feature nach – wenn auch noch im Beta-Stadium. Bislang reichte die Anmeldung per Benutzernamen und Passwort.

Das Fehlen eines zweiten Faktors wurde seit 2015 bemängelt, gerade weil viele sehr populäre Dienste und Projekte ihre Docker-Images auf der Plattform bereitstellen. So könnte ein gestohlenes Passwort dafür sorgen, dass millionenfach eingesetzte Images von Projekten wie Nginx oder Debian manipuliert werden.

Im April führte eine Lücke im Hub dazu, dass etwa 190.000 Benutzernamen, gehashte Passwörter und Zugriffstokens kopiert wurden. Ebenfalls in Planung ist die Anmeldung per Webauthn. Im zugehörigen Blogpost teilt Docker Inc. mit, dass man auch an einer Funktion arbeitet, mit der Organisationen 2FA für alle Mitglieder erzwingen können.

Das Unternehmen bemüht sich in letzter Zeit stärker um Sicherheit und Usability. Erst im September hat man eine Funktion eingebaut, die Zugriffstokens für externe Dienste bereitstellt. Vorher musste man jedem Dienst oder Programm seine Zugangsdaten für den Login übergeben. Außerdem wurde die Übersichtlichkeit und Informativität des Hubs gesteigert.

Druck auf Docker

Möglicherweise will Docker den Hub und auch dessen kommerzielle Variante zum Betrieb privater Docker-Registries für zahlende Kunden attraktiver machen. Docker Inc. war in den letzten Monaten in eine finanzielle Schieflage geraten.

Ein weiterer Grund für die gesteigerten Bestrebungen den Hub zu verbessern, könnte der Druck durch GitHubs Package Registry sein. Die Package Registry kann auch Docker-Images hosten, ist aber noch in der Beta-Phase. Zusammen mit der CI/CD-Lösung Actions bietet die Microsoft-Tochter eine umfangreiche Entwicklungs- und Hostingplattform. Der Docker Hub kann zwar automatisch Images erzeugen, ersetzt aber keine vollständige CI/CD-Lösung wie Travis oder Actions. (mls)