O GitHub anunciou o início de uma transição em fases de todos os usuários que publicam código para a autenticação obrigatória de dois fatores. A partir de 13 de março, a autenticação obrigatória de dois fatores será aplicada para determinados grupos de usuários, abrangendo gradualmente mais e mais novas categorias. Em primeiro lugar, a autenticação de dois fatores se tornará obrigatória para desenvolvedores que publicam pacotes, aplicativos OAuth e manipuladores GitHub, liberações de formulários, participam do desenvolvimento de projetos críticos para os ecossistemas npm, OpenSSF, PyPI e RubyGems, bem como aqueles envolvidos em trabalhe em quatro milhões dos repositórios mais populares.
Até o final de 2023, o GitHub não poderá mais enviar alterações sem usar a autenticação de dois fatores para todos os usuários. À medida que o momento de transição para a autenticação de dois fatores se aproxima, os usuários receberão notificações por e-mail e avisos serão exibidos na interface. Após o envio do primeiro aviso, o desenvolvedor tem 45 dias para configurar a autenticação de dois fatores.
Para autenticação de dois fatores, você pode usar o aplicativo móvel, verificação por SMS ou anexar uma chave de acesso. Aplicativos que geram senhas únicas com limite de tempo (TOTP), como Authy, Google Authenticator e FreeOTP, são recomendados como prioridade para autenticação de dois fatores.
O uso da autenticação de dois fatores aumentará a proteção do processo de desenvolvimento e protegerá os repositórios de alterações maliciosas como resultado de vazamento de credenciais, uso da mesma senha em um site comprometido, invasão do sistema local do desenvolvedor ou uso de métodos de engenharia social. De acordo com o GitHub, obter acesso a repositórios por invasores como resultado do sequestro de contas é uma das ameaças mais perigosas, pois no caso de um ataque bem-sucedido, alterações maliciosas podem ser feitas em produtos e bibliotecas populares usados como dependências.
Fonte: opennet.ru