GitHub kĂŒndigte den Beginn einer schrittweisen Umstellung aller Benutzer, die Code veröffentlichen, auf die obligatorische Zwei-Faktor-Authentifizierung an. Ab dem 13. MĂ€rz wird fĂŒr bestimmte Benutzergruppen eine obligatorische Zwei-Faktor-Authentifizierung eingefĂŒhrt, die nach und nach immer mehr neue Kategorien abdeckt. Erstens wird die Zwei-Faktor-Authentifizierung fĂŒr Entwickler obligatorisch, die Pakete, OAuth-Anwendungen und GitHub-Handler veröffentlichen, Releases erstellen, an der Entwicklung von Projekten teilnehmen, die fĂŒr die Ăkosysteme npm, OpenSSF, PyPI und RubyGems von entscheidender Bedeutung sind, sowie fĂŒr diejenigen, die daran beteiligt sind arbeiten an vier Millionen der beliebtesten Repositories.
Bis Ende 2023 kann GitHub keine Ănderungen mehr pushen, ohne fĂŒr alle Benutzer eine Zwei-Faktor-Authentifizierung zu verwenden. Sobald der Ăbergang zur Zwei-Faktor-Authentifizierung nĂ€her rĂŒckt, werden den Benutzern E-Mail-Benachrichtigungen gesendet und Warnungen in der BenutzeroberflĂ€che angezeigt. Nach dem Versand der ersten Warnung hat der Entwickler 45 Tage Zeit, die Zwei-Faktor-Authentifizierung einzurichten.
FĂŒr die Zwei-Faktor-Authentifizierung können Sie die mobile App, die SMS-Verifizierung oder das AnhĂ€ngen eines Passkeys verwenden. Als PrioritĂ€t fĂŒr die Zwei-Faktor-Authentifizierung werden Apps empfohlen, die zeitlich begrenzte Einmalpasswörter (TOTP) generieren, wie Authy, Google Authenticator und FreeOTP.
Der Einsatz der Zwei-Faktor-Authentifizierung erhöht den Schutz des Entwicklungsprozesses und sichert Repositorys vor böswilligen Ănderungen aufgrund von geleakten Anmeldeinformationen, der Verwendung desselben Passworts auf einer kompromittierten Website, dem Hacken des lokalen Systems des Entwicklers oder der Verwendung von Social-Engineering-Methoden. Laut GitHub ist der Zugriff von Angreifern auf Repositorys durch Account-Hijacking eine der gefĂ€hrlichsten Bedrohungen, da im Falle eines erfolgreichen Angriffs böswillige Ănderungen an beliebten Produkten und Bibliotheken vorgenommen werden können, die als AbhĂ€ngigkeiten dienen.
Source: opennet.ru
