GitHub har tillkännagett starten på en stegvis övergång av alla användare som publicerar kod till obligatorisk tvåfaktorsautentisering. Från och med den 13 mars kommer obligatorisk tvåfaktorsautentisering att börja gälla för vissa grupper av användare, och gradvis täcka fler och fler nya kategorier. Först och främst kommer tvåfaktorsautentisering att bli obligatoriskt för utvecklare som publicerar paket, OAuth-applikationer och GitHub-hanterare, skapar releaser, deltar i utvecklingen av projekt som är kritiska för npm, OpenSSF, PyPI och RubyGems ekosystem, såväl som de som är involverade i arbetet på de fyra miljoner populäraste förråden.
Fram till slutet av 2023 kommer GitHub inte längre att tillåta alla användare att driva ändringar utan att använda tvåfaktorsautentisering. När övergången till tvåfaktorsautentisering närmar sig kommer användarna att få e-postmeddelanden och varningar kommer att visas i gränssnittet. Efter att ha skickat den första varningen får utvecklaren 45 dagar på sig att ställa in tvåfaktorsautentisering.
För tvåfaktorsautentisering kan du använda en mobilapp, SMS-verifiering eller bifoga en åtkomstnyckel. För tvåfaktorsautentisering rekommenderar vi att du använder appar som genererar tidsbegränsade engångslösenord (TOTP), som Authy, Google Authenticator och FreeOTP som ditt föredragna alternativ.
Användningen av tvåfaktorsautentisering kommer att förbättra skyddet av utvecklingsprocessen och skydda arkiv från skadliga ändringar som ett resultat av läckta referenser, användning av samma lösenord på en utsatt webbplats, hacking av utvecklarens lokala system eller användning av sociala nätverk tekniska metoder. Enligt GitHub är angripare som får tillgång till arkiv som ett resultat av kontoövertagande ett av de farligaste hoten, eftersom i händelse av en framgångsrik attack kan skadliga ändringar göras på populära produkter och bibliotek som används som beroenden.
Källa: opennet.ru