GitHub 宣布開始分階段向所有發布程式碼的用戶過渡到強制雙重認證。 13月XNUMX日起,強制二步驟認證將開始針對特定使用者群體,並逐步涵蓋越來越多的新類別。 首先,對於發布套件、OAuth 應用程式和GitHub 處理程序、創建版本、參與對npm、OpenSSF、PyPI 和RubyGems 生態系統至關重要的專案開發以及參與工作的開發人員來說,雙重認證將成為強制要求在四百萬個最受歡迎的存儲庫上。
到 2023 年底,GitHub 將不再允許所有使用者在不使用雙重認證的情況下推送變更。 隨著過渡到雙重認證的時刻臨近,用戶將收到電子郵件通知,並且介面中將顯示警告。 發送第一次警告後,開發人員有 45 天的時間來設定雙重認證。
對於雙重認證,您可以使用行動應用程式、簡訊驗證或附加存取金鑰。 對於雙重認證,我們建議使用可產生限時一次性密碼 (TOTP) 的應用程序,例如 Authy、Google Authenticator 和 FreeOTP 作為您的首選。
使用雙重認證將增強對開發過程的保護,並保護儲存庫免受因憑證洩露、在受感染網站上使用相同密碼、開發人員本地系統遭到駭客攻擊或使用社交媒體而導致的惡意更改。工程方法。 根據 GitHub 的說法,攻擊者透過帳戶接管來存取儲存庫是最危險的威脅之一,因為如果攻擊成功,可以對用作依賴項的流行產品和庫進行惡意更改。
來源: opennet.ru