Το GitHub σκοπεύει να ενισχύσει την ασφάλεια των χρηστών του με την εφαρμογή του 2FA
Από την επόμενη εβδομάδα, Το GitHub θα απαιτήσει ενεργούς προγραμματιστές στον χωρο ενεργοποιήστε τουλάχιστον μία μορφή ελέγχου ταυτότητας δύο παραγόντων (2FA). Η πρωτοβουλία ασφαλείας ξεκίνησε στις 13 Μαρτίου με ειδικά επιλεγμένες ομάδες προγραμματιστών και διαχειριστών.
Μέχρι το τέλος του έτους, το GitHub θα αρχίσει να ειδοποιεί τους επιλεγμένους σχετικά με την απαίτηση χρήσης ελέγχου ταυτότητας δύο παραγόντων. Καθώς ο χρόνος προχωρά, όλο και περισσότεροι χρήστες θα αναγκάζονται να ενεργοποιήσουν τον έλεγχο ταυτότητας δύο παραγόντων.
Κατά τη δημοσίευση των νέων μέτρων ασφαλείας, το GitHub δηλώνει:
"Στις 13 Μαρτίου, θα αρχίσουμε επίσημα να διαθέτουμε την πρωτοβουλία μας να απαιτήσουμε από όλους τους προγραμματιστές που συνεισφέρουν κώδικα στο GitHub.com να ενεργοποιήσουν μία ή περισσότερες μορφές ελέγχου ταυτότητας δύο παραγόντων (2FA) μέχρι το τέλος του 2023."
Θα εμφανιστεί το GitHub ένα banner ειδοποίησης στολογαριασμοί που έχουν επιλεγεί για συμμετοχή στο πρόγραμμα, ειδοποιώντας τους την ανάγκη να ενεργοποιηθεί ο έλεγχος ταυτότητας δύο παραγόντων εντός 45 ημερών. Την ημέρα της προθεσμίας, τα άτομα που έχουν επιλεγεί αλλά δεν έχουν ακόμη συμπληρώσει τη φόρμα ενεργοποίησης 2FA θα καλούνται καθημερινά να το κάνουν.
εάν έλεγχος ταυτότητας δύο παραγόντων δεν είναι ενεργοποιημένο μία εβδομάδα μετά τη λήξη της προθεσμίας, η πρόσβαση θα αφαιρεθεί στη δυνατότητα GitHub μέχρι να ενεργοποιηθεί.
GitHub είπε κάνει αρκετές αλλαγές στην "εμπειρία" 2FA για διευκόλυνση της μετάβασης:
- Επικύρωση δεύτερου παράγοντα μετά τη ρύθμιση 2FA.
Αυτό έχει σκοπό να διασφαλίσει ότι οι χρήστες του GitHub που έχουν διαμορφώσει το 2FA θα δουν ένα μήνυμα μετά από 28 ημέρες που τους ζητά να εκτελέσουν το 2FA και να επιβεβαιώσουν τη διαμόρφωση του δεύτερου παράγοντα. Αυτή η ειδοποίηση βοηθά στην αποτροπή του κλειδώματος λογαριασμού λόγω εσφαλμένων διαμορφωμένων εφαρμογών ελέγχου ταυτότητας (εφαρμογές TOTP). Εάν ο έλεγχος ταυτότητας 2FA δεν μπορεί να πραγματοποιηθεί, μια συντόμευση θα σας επιτρέψει να επαναφέρετε τις ρυθμίσεις ελέγχου ταυτότητας 2FA χωρίς να κλειδωθεί ο λογαριασμός σας. - Εγγράψτε δεύτερους παράγοντες
Με αυτήν την αλλαγή, δεν σκοπεύουμε να εφαρμοστεί μόνο μία μέθοδος 2FA, αλλά μάλλον να μπορείτε να έχετε περισσότερες, εκτός από το να τις κάνετε πιο προσιτές για να εγγυηθείτε ότι έχετε πάντα πρόσβαση στον λογαριασμό.Μπορείτε πλέον να έχετε καταχωρίσει στον λογαριασμό σας μια εφαρμογή ελέγχου ταυτότητας (TOTP) και έναν αριθμό SMS. Αν και συνιστούμε τη χρήση κλειδιών ασφαλείας και της εφαρμογής TOTP σας μέσω SMS, η ταυτόχρονη επιτρέποντας και τις δύο μεθόδους συμβάλλει στη μείωση του κλειδώματος λογαριασμού παρέχοντας μια άλλη προσβάσιμη και κατανοητή επιλογή 2FA που μπορούν να ενεργοποιήσουν οι προγραμματιστές.
- Επιλογή της προτιμώμενης μεθόδου 2FA.
Η νέα προτιμώμενη επιλογή επιτρέπει στο χρήστη να διαμορφώσει την προτιμώμενη μέθοδο 2FA για να συνδεθείτε στον λογαριασμό και να χρησιμοποιήσετε τη γραμμή εντολών sudo, επομένως η προτιμώμενη μέθοδος σας ζητείται πάντα πρώτη κατά τη σύνδεση. Μπορείτε να επιλέξετε μεταξύ TOTP, SMS, κλειδιών ασφαλείας ή GitHub Mobile ως η προτιμώμενη μέθοδος 2FA. Επιπλέον, συνιστάται να χρησιμοποιείτε κλειδιά ασφαλείας και TOTP όποτε είναι δυνατόν. Το SMS 2FA δεν προσφέρει το ίδιο επίπεδο προστασίας και δεν συνιστάται πλέον από το NIST 800-63B. Οι πιο ισχυρές διαθέσιμες μέθοδοι είναι αυτές που υποστηρίζουν το ασφαλές πρότυπο ελέγχου ταυτότητας WebAuthn. Αυτές οι μέθοδοι περιλαμβάνουν φυσικά κλειδιά ασφαλείας, - Αποσύνδεση email σε περίπτωση αποκλεισμού 2FA.
Δεδομένου ότι οι λογαριασμοί στο GitHub πρέπει να έχουν μια μοναδική διεύθυνση ηλεκτρονικού ταχυδρομείου, οι αποκλεισμένοι χρήστες δυσκολεύονται να δημιουργήσουν έναν νέο λογαριασμό με την προτιμώμενη διεύθυνση email τους, στην οποία αναφέρονται όλες οι δεσμεύσεις τους. Με αυτήν τη δυνατότητα, ο dr μπορεί πλέον να αποσυνδέσει τη διεύθυνση email σας από έναν λογαριασμό GitHub δύο παραγόντων σε περίπτωση που δεν μπορείτε να συνδεθείτε ή να τον ανακτήσετε. Εάν δεν μπορείτε να βρείτε ένα κλειδί SSH, ένα κλειδί PAT ή μια συσκευή που ήταν προηγουμένως συνδεδεμένη στο GitHub για να ανακτήσετε τον λογαριασμό σας, είναι εύκολο να ξεκινήσετε με έναν νέο λογαριασμό GitHub.com και να διατηρήσετε πράσινο το γράφημα συνεισφοράς σας.
Τέλος, εάν ενδιαφέρεστε να μάθετε περισσότερα για αυτό, μπορείτε να συμβουλευτείτε τις λεπτομέρειες στο παρακάτω σύνδεσμο.