GitHub teatas täna, et kõik kasutajad, kes lisavad selle platvormile koodi (kokku hinnanguliselt 83 miljonit arendajat), peavad 2023. aasta lõpuks oma kontodel lubama kahefaktorilise autentimise (2FA).
Aktiivsed kaasautorid, kes peavad lubama 2FA, hõlmavad (kuid mitte ainult) GitHubi kasutajaid, kes sisestavad koodi, kasutavad toiminguid, avavad või ühendavad tõmbetaotlusi või avaldavad pakette.
Arendajad saavad kasutada ühte või mitut 2FA valikut, sealhulgas füüsilisi turvavõtmeid, seadmetesse (nt telefonidesse ja sülearvutitesse) manustatud virtuaalseid turvavõtmeid või ajapõhiseid ühekordse parooli (TOTP) autentimise rakendusi.
Kuigi SMS-põhine 2FA on ka valik (mõnes riigis), soovitab GitHub tungivalt lülituda turvavõtmetele või TOTP-le, kuna ohus osalejad saavad SMS 2FA autentimislubadest mööda minna või varastada.
'GitHub.com-i organisatsioonide ja ettevõtete omanikud võivad nõuda ka oma organisatsioonide ja ettevõtete liikmetelt 2FA-d,' ütles turvajuht Mike Hanley.
Pange tähele, et organisatsiooni ja ettevõtte liikmed ja omanikud, kes ei kasuta 2FA-d, eemaldatakse organisatsioonist või ettevõttest, kui need seaded on lubatud.
See on GitHubi viimane samm, et kaitsta tarkvara tarneahelat rünnakute eest, loobudes põhilisest paroolipõhisest autentimisest.
Koodimajutusplatvorm teatas varem, et Giti toimingute autentimiseks on vaja meilipõhist seadme kinnitamist ja konto paroolide aegumist.
GitHub keelas 2020. aasta novembris ka parooli autentimise REST API kaudu ja lisas 2021. aasta mais Git SSH toimingute kaitsmise FIDO2 turvavõtmete abil.
GitHub on aastate jooksul parandanud ka konto turvalisust, lisades kahefaktorilise autentimise, sisselogimishoiatused, rikutud paroolide kasutamise blokeerimise ja WebAuthni toe.
Miks 2FA?
Kahefaktorilise autentimise lubamine GitHubi kontodel suurendab vastupanuvõimet ülevõtmiskatsete vastu, blokeerides katsed kasutada varastatud mandaate või taaskasutatud paroole kaaperdamisrünnakutes.
Nagu Microsofti identiteediturbe direktor Alex Weinert paar aastat tagasi selgitas: „Teie parool pole oluline, aga MFA omab! Meie uuringute kohaselt on teie konto ohus 99,9% väiksem, kui kasutate MFA-d.
Ta ütles ka, et 'millegi muu kasutamine peale parooli suurendab oluliselt ründajate kulusid, mistõttu on mis tahes tüüpi MFA-d kasutavate kontode kompromissimäär alla 0,1% elanikkonnast.' '.
Google näitas ka varem, et 'lihtsalt taastetelefoninumbri lisamine oma Google'i kontole võib blokeerida kuni 100% automatiseeritud robotitest, 99% massilistest andmepüügirünnakutest ja 66% sihitud rünnakutest', kusjuures 'null kasutajat ei kasuta ainult turvavõtmeid'. . langes oda andmepüügi ohver”.
Hanley lisas täna, et kuigi 2FA on juba osutunud lihtsaks viisiks kontode kaaperdamise eest kaitsmiseks, 'kasutab ainult umbes 16,5% aktiivsetest GitHubi kasutajatest ja 6,44% npm-i kasutajatest üht või mitut 2FA vormi'.
GitHub pakub üksikasjalikku teavet teie GitHubi konto 2FA seadistamise, kontode taastamise kohta, kui kaotate 2FA mandaadi, ja 2FA keelamise kohta isiklikel kontodel.
Mida sa arvad?
