GitHub a annoncé le début d'une transition progressive de tous les utilisateurs publiant du code vers une authentification obligatoire à deux facteurs. À partir du 13 mars, l'authentification obligatoire à deux facteurs commencera à s'appliquer à certains groupes d'utilisateurs, couvrant progressivement de plus en plus de nouvelles catégories. Tout d'abord, l'authentification à deux facteurs deviendra obligatoire pour les développeurs publiant des packages, des applications OAuth et des gestionnaires GitHub, créant des versions, participant au développement de projets critiques pour les écosystèmes npm, OpenSSF, PyPI et RubyGems, ainsi que ceux impliqués dans les travaux. sur les quatre millions de référentiels les plus populaires.
Jusqu'à fin 2023, GitHub ne permettra plus à tous les utilisateurs de pousser les modifications sans utiliser l'authentification à deux facteurs. À l'approche du moment de la transition vers l'authentification à deux facteurs, les utilisateurs recevront des notifications par courrier électronique et des avertissements seront affichés dans l'interface. Après l'envoi du premier avertissement, le développeur dispose de 45 jours pour mettre en place une authentification à deux facteurs.
Pour l'authentification à deux facteurs, vous pouvez utiliser une application mobile, une vérification par SMS ou joindre une clé d'accès. Pour l'authentification à deux facteurs, nous vous recommandons d'utiliser des applications qui génèrent des mots de passe à usage unique (TOTP) à durée limitée, telles que Authy, Google Authenticator et FreeOTP, comme option préférée.
L'utilisation de l'authentification à deux facteurs améliorera la protection du processus de développement et protégera les référentiels contre les modifications malveillantes résultant d'une fuite d'informations d'identification, de l'utilisation du même mot de passe sur un site compromis, du piratage du système local du développeur ou de l'utilisation de réseaux sociaux. méthodes d'ingénierie. Selon GitHub, l'accès aux référentiels par les attaquants à la suite d'un piratage de compte est l'une des menaces les plus dangereuses, car en cas d'attaque réussie, des modifications malveillantes peuvent être apportées aux produits et bibliothèques populaires utilisés comme dépendances.
Source: opennet.ru