GitHub ogłosił rozpoczęcie etapowego przechodzenia wszystkich użytkowników publikujących kod na obowiązkowe uwierzytelnianie dwuskładnikowe. Od 13 marca dla niektórych grup użytkowników zacznie obowiązywać obowiązkowe uwierzytelnianie dwuskładnikowe, stopniowo obejmując coraz więcej nowych kategorii. Przede wszystkim uwierzytelnianie dwuskładnikowe stanie się obowiązkowe dla programistów publikujących pakiety, aplikacje OAuth i obsługi GitHub, tworzących wydania, uczestniczących w rozwoju projektów krytycznych dla ekosystemów npm, OpenSSF, PyPI i RubyGems, a także osób zaangażowanych w prace w czterech milionach najpopularniejszych repozytoriów.
Do końca 2023 r. GitHub nie będzie już pozwalał wszystkim użytkownikom na przesyłanie zmian bez korzystania z uwierzytelniania dwuskładnikowego. W miarę zbliżania się momentu przejścia na uwierzytelnianie dwuskładnikowe do użytkowników będą wysyłane powiadomienia e-mailowe, a w interfejsie będą wyświetlane ostrzeżenia. Po wysłaniu pierwszego ostrzeżenia programista ma 45 dni na skonfigurowanie uwierzytelniania dwuskładnikowego.
W przypadku uwierzytelniania dwuskładnikowego możesz skorzystać z aplikacji mobilnej, weryfikacji SMS lub dołączyć klucz dostępu. W przypadku uwierzytelniania dwuskładnikowego zalecamy korzystanie z aplikacji generujących ograniczone czasowo hasła jednorazowe (TOTP), takich jak Authy, Google Authenticator i FreeOTP, jako preferowanej opcji.
Zastosowanie uwierzytelniania dwuskładnikowego poprawi ochronę procesu programowania i ochroni repozytoria przed złośliwymi zmianami w wyniku wycieku danych uwierzytelniających, użycia tego samego hasła w zaatakowanej witrynie, włamania się do lokalnego systemu programisty lub użycia mediów społecznościowych metody inżynieryjne. Według GitHuba jednym z najniebezpieczniejszych zagrożeń jest uzyskanie przez atakujących dostępu do repozytoriów w wyniku przejęcia konta, gdyż w przypadku udanego ataku można dokonać złośliwych zmian w popularnych produktach i bibliotekach wykorzystywanych jako zależności.
Źródło: opennet.ru