GitHub oznámil zahájení postupného přechodu všech uživatelů publikujících kód na povinné dvoufaktorové ověřování. Od 13. března se pro určité skupiny uživatelů začne vztahovat povinná dvoufaktorová autentizace, která postupně pokryje stále nové a nové kategorie. Za prvé, dvoufaktorová autentizace se stane povinnou pro vývojáře, kteří publikují balíčky, aplikace OAuth a GitHub handlery, vytvářejí vydání, podílejí se na vývoji projektů kritických pro ekosystémy npm, OpenSSF, PyPI a RubyGems a také pro ty, kteří se podílejí na práci. na čtyřech milionech nejoblíbenějších úložišť.
Do konce roku 2023 již GitHub nebude umožňovat všem uživatelům prosazovat změny bez použití dvoufaktorové autentizace. S blížícím se okamžikem přechodu na dvoufaktorovou autentizaci budou uživatelům zasílána e-mailová upozornění a v rozhraní se budou zobrazovat varování. Po odeslání prvního varování má vývojář 45 dní na nastavení dvoufaktorové autentizace.
Pro dvoufaktorovou autentizaci můžete použít mobilní aplikaci, SMS ověření nebo připojení přístupového klíče. Pro dvoufaktorové ověření doporučujeme jako preferovanou možnost používat aplikace, které generují časově omezená jednorázová hesla (TOTP), jako je Authy, Google Authenticator a FreeOTP.
Použití dvoufaktorové autentizace posílí ochranu vývojového procesu a ochrání úložiště před škodlivými změnami v důsledku úniku přihlašovacích údajů, použití stejného hesla na kompromitovaném webu, hackování místního systému vývojáře nebo používání sociálních sítí. inženýrské metody. Podle GitHubu jsou útočníci, kteří získají přístup k úložištím v důsledku převzetí účtu, jednou z nejnebezpečnějších hrozeb, protože v případě úspěšného útoku lze provést škodlivé změny v oblíbených produktech a knihovnách používaných jako závislosti.
Zdroj: opennet.ru