GitHub heeft de start aangekondigd van een gefaseerde transitie van alle gebruikers die code publiceren naar verplichte tweefactorauthenticatie. Vanaf 13 maart zal verplichte tweefactorauthenticatie van toepassing worden op bepaalde groepen gebruikers, waardoor geleidelijk steeds meer nieuwe categorieën worden bestreken. Allereerst zal tweefactorauthenticatie verplicht worden voor ontwikkelaars die pakketten, OAuth-applicaties en GitHub-handlers publiceren, releases creëren, deelnemen aan de ontwikkeling van projecten die cruciaal zijn voor de npm-, OpenSSF-, PyPI- en RubyGems-ecosystemen, evenals voor degenen die betrokken zijn bij werk op de vier miljoen populairste opslagplaatsen.
Tot eind 2023 zal GitHub niet langer toestaan dat alle gebruikers wijzigingen doorvoeren zonder gebruik te maken van tweefactorauthenticatie. Naarmate het moment van de overgang naar tweefactorauthenticatie nadert, krijgen gebruikers e-mailmeldingen en worden waarschuwingen in de interface weergegeven. Na het verzenden van de eerste waarschuwing krijgt de ontwikkelaar 45 dagen de tijd om tweefactorauthenticatie in te stellen.
Voor tweefactorauthenticatie kunt u een mobiele app, sms-verificatie of het toevoegen van een toegangssleutel gebruiken. Voor tweefactorauthenticatie raden we u aan apps te gebruiken die in de tijd beperkte eenmalige wachtwoorden (TOTP) genereren, zoals Authy, Google Authenticator en FreeOTP als uw voorkeursoptie.
Het gebruik van tweefactorauthenticatie verbetert de bescherming van het ontwikkelingsproces en beschermt opslagplaatsen tegen kwaadwillige wijzigingen als gevolg van gelekte inloggegevens, gebruik van hetzelfde wachtwoord op een gecompromitteerde site, hacking van het lokale systeem van de ontwikkelaar of het gebruik van sociale media. technische methoden. Volgens GitHub zijn aanvallers die toegang krijgen tot repository's als gevolg van het overnemen van accounts een van de gevaarlijkste bedreigingen, omdat in het geval van een succesvolle aanval kwaadaardige wijzigingen kunnen worden aangebracht in populaire producten en bibliotheken die als afhankelijkheden worden gebruikt.
Bron: opennet.ru