GitHub je najavio početak postupnog prijelaza koda za objavljivanje svih korisnika na obaveznu dvofaktorsku autentifikaciju. Počevši od 13. ožujka, obvezna dvofaktorska autentifikacija počet će se primjenjivati na određene skupine korisnika, postupno pokrivajući sve više i više novih kategorija. Prije svega, dvofaktorska autentifikacija postat će obvezna za programere koji objavljuju pakete, OAuth aplikacije i GitHub rukovatelje, kreiraju izdanja, sudjeluju u razvoju projekata kritičnih za npm, OpenSSF, PyPI i RubyGems ekosustave, kao i one koji su uključeni u rad na četiri milijuna najpopularnijih repozitorija.
Do kraja 2023. GitHub više neće dopuštati svim korisnicima da guraju promjene bez upotrebe dvofaktorske autentifikacije. Kako se približava trenutak prelaska na dvofaktorsku autentifikaciju, korisnicima će se slati obavijesti e-poštom, a upozorenja će se prikazivati u sučelju. Nakon slanja prvog upozorenja, programer dobiva 45 dana za postavljanje dvofaktorske autentifikacije.
Za autentifikaciju u dva faktora možete koristiti mobilnu aplikaciju, SMS potvrdu ili priložiti pristupni ključ. Za dvofaktorsku autentifikaciju preporučujemo korištenje aplikacija koje generiraju vremenski ograničene jednokratne lozinke (TOTP), kao što su Authy, Google Authenticator i FreeOTP kao preferiranu opciju.
Korištenje dvofaktorske provjere autentičnosti poboljšat će zaštitu razvojnog procesa i zaštititi repozitorije od zlonamjernih promjena kao rezultat curenja vjerodajnica, upotrebe iste lozinke na kompromitiranom mjestu, hakiranja lokalnog sustava programera ili upotrebe društvenih mreža inženjerske metode. Prema GitHubu, napadači koji dobivaju pristup repozitoriju kao rezultat preuzimanja računa jedna su od najopasnijih prijetnji, budući da se u slučaju uspješnog napada mogu napraviti zlonamjerne promjene u popularnim proizvodima i bibliotekama koje se koriste kao ovisnosti.
Izvor: opennet.ru