GitHub unterstützt die Zwei-Faktor-Authentisierung (2FA) zur zusätzlichen Absicherung des Accounts. Typischerweise verwendet man hierfür eine Smartphone-App (z. B. FreeOTP oder Google Authenticator). Alternativ kann man auch einen “Security Key” von Yubico verwenden.

GitHub stellt zur Einrichtung eine Anleitung bereit. Auf dieser findet sich der Hinweis, dass aktuell nur Chrome unterstützt wird:

"Tip: FIDO U2F authentication is currently only available for the Chrome browser."

Und tatsächlich: Versucht man mit Firefox den Security Key einzurichten, stößt man auf die Meldung:

"This browser doesn’t support the FIDO U2F standard yet. We recommend updating to the latest Google Chrome to start using security key devices."

Zunächst sollte man aber sicherstellen, dass Firefox für die Nutzung eines Security Keys überhaupt konfiguriert ist. Firefox muss also so eingestellt sein, dass es U2F unterstützt. Zu Testzwecken gibt es eine Demo-Seite von Yubico. Dort kann man prüfen, ob der Browser U2F bereits akzeptiert oder nicht. Hierzu registriert man im ersten Schritt seinen Schlüssel. Danach authentisiert man sich.

Gegebenenfalls muss Firefox noch so konfiguriert werden, dass es U2F zulässt, wie hier beschrieben. Zusammengefasst müssen folgende Schritte befolgt werden:

  1. Öffnen der Konfiguration über die Seite about:config.
  2. Den Wert für security.webauth.u2f auf true setzen.

Nun muss man noch GitHub dazu bringen, Firefox zu akzeptieren. Dass GitHub Firefox mit U2F nicht unterstützt, ist bekannt. Als Workaround kann man GitHub vorgaukeln, dass man Chrome verwendet, indem man den User-Agent entsprechend konfiguriert.

Auch hierzu findet man etwas im Web. In Kürze:

  1. Öffnen der Konfiguration über die Seite about:config.
  2. Einen neuen String-Wert anlegen mit dem Key general.useragent.override.github.com und dem Wert Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1585.0 Safari/537.36.

Hierzu eine kleine Anmerkung: Der Wert des hier aufgeführten User-Agents ist eigentlich veraltet. Ich habe ihn einfach von der genannten Web-Seite von 2013 übernommen. Interessanterweise wird dieser alte User-Agent anstandslos von GitHub akzeptiert. Sollte dem einmal nicht mehr so sein, so kann man hier einer Liste für neuere Versionen finden.

Es ist ausreichend die Änderung des User-Agents auf die Domain github.com zu beschränken.

Wenn man nun erneut versucht den Security Key einzurichten, findet man einen Knopf mit der Aufschrift "Register new device" vor. Ab hier kann man nach Anleitung weitermachen. Also Knopf drücken, Namen für das Device vergeben (z. B. “YubiKey”), "Add" drücken, Finger auf den Security Key auflegen und der Security Key ist registriert.