GitHub tilkynnti stigvaxandi umskipti yfir í skyldubundna tvíþátta auðkenningu fyrir alla notendur sem birta kóða. Frá og með 13. mars verður skyldubundin tvíþátta auðkenning innleidd fyrir valda notendahópa og smám saman útvíkkuð til fleiri flokka. Í fyrsta lagi verður tvíþátta auðkenning skyldubundin fyrir forritara sem birta pakka, OAuth forrit og GitHub meðhöndlunaraðila; þá sem búa til útgáfur; þá sem leggja sitt af mörkum til verkefna sem eru mikilvæg fyrir npm, OpenSSF, PyPI og RubyGems vistkerfin; og þá sem koma að fjórum milljónum vinsælustu gagnageymslum.
Í lok árs 2023 mun GitHub gera óvirkt fyrir alla notendur að framkvæma breytingar án tveggja þátta auðkenningar. Þegar breytingin yfir í tveggja þátta auðkenningu nálgast munu notendur fá tölvupósttilkynningar og viðvaranir í viðmótinu. Eftir fyrstu viðvörunina munu forritarar hafa 45 daga til að setja upp tveggja þátta auðkenningu.
Hægt er að framkvæma tvíþátta auðkenningu með smáforriti, SMS-staðfestingu eða með því að tengja við lykilorð. Forrit sem búa til tímabundin einnota lykilorð (TOTP), eins og Authy, Google Authenticator og FreeOTP, eru ráðlögð sem kjörinn tvíþátta auðkenningarkostur.
Innleiðing tveggja þátta auðkenningar mun styrkja öryggi þróunarferlisins og vernda gagnasöfn gegn skaðlegum breytingum vegna leka á innskráningarupplýsingum, notkunar sama lykilorðs á vefsíðu sem hefur orðið fyrir áhrifum, tölvuárása á staðbundið kerfi forritara eða félagslegrar verkfræði. Samkvæmt GitHub er aðgangur árásarmanna að gagnasöfnum í gegnum reikningsræningja ein hættulegasta ógnin, þar sem vel heppnuð árás gæti leitt til skaðlegra breytinga á vinsælum vörum og bókasöfnum sem notuð eru sem ósjálfstæði.
Heimild: opennet.ru
