GitHub har annonsert starten på en gradvis overgang av alle brukere som publiserer kode til obligatorisk tofaktorautentisering. Fra og med 13. mars vil obligatorisk tofaktorautentisering begynne å gjelde for visse brukergrupper, og gradvis dekke flere og flere nye kategorier. Først av alt vil tofaktorautentisering bli obligatorisk for utviklere som publiserer pakker, OAuth-applikasjoner og GitHub-behandlere, oppretter utgivelser, deltar i utviklingen av prosjekter som er kritiske for npm, OpenSSF, PyPI og RubyGems-økosystemene, så vel som de som er involvert i arbeidet på de fire millioner mest populære depotene.
Frem til slutten av 2023 vil ikke GitHub lenger tillate alle brukere å pushe endringer uten å bruke tofaktorautentisering. Når overgangen til tofaktorautentisering nærmer seg, vil brukere få tilsendt e-postvarsler og advarsler vises i grensesnittet. Etter å ha sendt den første advarselen, får utvikleren 45 dager på seg til å sette opp tofaktorautentisering.
For tofaktorautentisering kan du bruke en mobilapp, SMS-verifisering eller legge ved en tilgangsnøkkel. For tofaktorautentisering anbefaler vi å bruke apper som genererer tidsbegrensede engangspassord (TOTP), for eksempel Authy, Google Authenticator og FreeOTP som ditt foretrukne alternativ.
Bruk av tofaktorautentisering vil forbedre beskyttelsen av utviklingsprosessen og beskytte depoter mot ondsinnede endringer som følge av lekket legitimasjon, bruk av samme passord på et kompromittert nettsted, hacking av utviklerens lokale system eller bruk av sosiale ingeniørmetoder. Ifølge GitHub er angripere som får tilgang til depoter som følge av kontoovertakelse en av de farligste truslene, siden i tilfelle et vellykket angrep kan det gjøres ondsinnede endringer i populære produkter og biblioteker som brukes som avhengigheter.
Kilde: opennet.ru