GitHub tilkynnti um að krefjast tveggja þátta auðkenningar fyrir alla notendur sem birta kóða á GitHub.com. Á fyrsta stigi í mars 2023 mun lögboðin tvíþætt auðkenning fara að gilda fyrir ákveðna hópa notenda og ná smám saman yfir fleiri og fleiri nýja flokka.
Breytingin mun fyrst og fremst hafa áhrif á forritara sem gefa út pakka, OAuth forrit og GitHub meðhöndlun, búa til útgáfur, taka þátt í þróun verkefna sem eru mikilvæg fyrir npm, OpenSSF, PyPI og RubyGems vistkerfin, sem og þá sem taka þátt í vinnu við fjórar milljónir vinsælustu geymslur. Í lok árs 2023 ætlar GitHub að slökkva algjörlega á getu allra notenda til að ýta undir breytingar án þess að nota tveggja þátta auðkenningu. Þegar umskipti yfir í tvíþátta auðkenningu nálgast munu notendur fá sendar tölvupósttilkynningar og viðvaranir birtast í viðmótinu.
Nýja krafan mun styrkja vernd þróunarferilsins og vernda geymslur fyrir skaðlegum breytingum vegna lekandi skilríkja, notkun á sama lykilorði á vefsvæði sem hefur verið í hættu, innbrot á staðbundið kerfi þróunaraðila eða notkun félagslegra verkfræðiaðferða. Samkvæmt GitHub eru árásarmenn sem fá aðgang að geymslum vegna yfirtöku reikninga ein hættulegasta ógnunin, þar sem ef árás verður árangursrík er hægt að gera faldar breytingar á vinsælum vörum og bókasöfnum sem notuð eru sem ósjálfstæði.
Að auki getum við tekið eftir byrjuninni á því að veita öllum notendum opinberra geymsla á GitHub ókeypis þjónustu til að fylgjast með birtingu trúnaðargagna fyrir slysni, svo sem dulkóðunarlykla, DBMS lykilorð og API aðgangslykil. Alls hafa meira en 200 sniðmát verið innleidd til að bera kennsl á mismunandi gerðir lykla, tákna, vottorða og skilríkja. Til að útrýma fölskum jákvættum eru aðeins tryggðar tákntegundir athugaðar. Til loka janúar verður tækifærið aðeins í boði fyrir þátttakendur í beta prófunaráætluninni, en eftir það geta allir notað þjónustuna.
Heimild: opennet.ru