GitHub kündigte den Beginn einer schrittweisen Umstellung aller Benutzer, die Code veröffentlichen, auf die obligatorische Zwei-Faktor-Authentifizierung an. Ab dem 13. März wird für bestimmte Benutzergruppen eine obligatorische Zwei-Faktor-Authentifizierung eingeführt, die nach und nach immer mehr neue Kategorien abdeckt. Erstens wird die Zwei-Faktor-Authentifizierung für Entwickler obligatorisch, die Pakete, OAuth-Anwendungen und GitHub-Handler veröffentlichen, Releases erstellen, an der Entwicklung von Projekten teilnehmen, die für die Ökosysteme npm, OpenSSF, PyPI und RubyGems von entscheidender Bedeutung sind, sowie für diejenigen, die daran beteiligt sind arbeiten an vier Millionen der beliebtesten Repositories.
Bis Ende 2023 kann GitHub keine Änderungen mehr pushen, ohne für alle Benutzer eine Zwei-Faktor-Authentifizierung zu verwenden. Sobald der Übergang zur Zwei-Faktor-Authentifizierung näher rückt, werden den Benutzern E-Mail-Benachrichtigungen gesendet und Warnungen in der Benutzeroberfläche angezeigt. Nach dem Versand der ersten Warnung hat der Entwickler 45 Tage Zeit, die Zwei-Faktor-Authentifizierung einzurichten.
Für die Zwei-Faktor-Authentifizierung können Sie die mobile App, die SMS-Verifizierung oder das Anhängen eines Passkeys verwenden. Als Priorität für die Zwei-Faktor-Authentifizierung werden Apps empfohlen, die zeitlich begrenzte Einmalpasswörter (TOTP) generieren, wie Authy, Google Authenticator und FreeOTP.
Der Einsatz der Zwei-Faktor-Authentifizierung erhöht den Schutz des Entwicklungsprozesses und sichert Repositorys vor böswilligen Änderungen aufgrund von geleakten Anmeldeinformationen, der Verwendung desselben Passworts auf einer kompromittierten Website, dem Hacken des lokalen Systems des Entwicklers oder der Verwendung von Social-Engineering-Methoden. Laut GitHub ist der Zugriff von Angreifern auf Repositorys durch Account-Hijacking eine der gefährlichsten Bedrohungen, da im Falle eines erfolgreichen Angriffs böswillige Änderungen an beliebten Produkten und Bibliotheken vorgenommen werden können, die als Abhängigkeiten dienen.
Source: opennet.ru