GitHub namerava okrepiti varnost svojih uporabnikov z implementacijo 2FA
Od naslednjega tedna dalje GitHub bo zahteval aktivne razvijalce v kraju omogočiti vsaj eno obliko avtentikacije dveh dejavnikov (2FA). Varnostna pobuda se je začela 13. marca s posebej izbranimi skupinami razvijalcev in skrbnikov.
Do konca leta bo GitHub začel obveščati izbrane o zahtevi po uporabi dvostopenjske avtentikacije. Z letom bo vse več uporabnikov prisiljenih omogočiti dvostopenjsko avtentikacijo.
Ob objavi novih varnostnih ukrepov GitHub navaja:
"13. marca bomo uradno začeli uvajati našo pobudo, da od vseh razvijalcev, ki prispevajo kodo na GitHub.com, zahtevamo, da omogočijo eno ali več oblik dvofaktorske avtentikacije (2FA) do konca leta 2023."
Prikazal se bo GitHub obvestilna pasica nas računi, izbranimi za sodelovanje v programu, in jih obvestili potrebo po omogočanju dvostopenjske avtentikacije v 45 dneh. Na dan roka bodo ljudje, ki so bili izbrani, vendar še niso izpolnili aktivacijskega obrazca 2FA, dnevno pozvani, da to storijo.
če je avtentikacija dvofaktorski ni omogočeno en teden po roku, dostop bo odstranjen na funkcijo GitHub, dokler ni omogočena.
GitHub je dejal uvaja več sprememb v "izkušnji" 2FA za lažji prehod:
- Drugo preverjanje faktorja po nastavitvi 2FA.
To je namenjeno zagotavljanju, da bodo uporabniki GitHub, ki so konfigurirali 2FA, po 28 dneh videli sporočilo s pozivom, naj zaženejo 2FA in potrdijo konfiguracijo drugega faktorja. To obvestilo pomaga preprečiti blokado računa zaradi napačno konfiguriranih aplikacij za preverjanje pristnosti (aplikacije TOTP). Če preverjanja pristnosti 2FA ni mogoče izvesti, vam bo bližnjica omogočila ponastavitev nastavitev preverjanja pristnosti 2FA, ne da bi zaklenili vaš račun. - Vpišite druge faktorje
S to spremembo je predvideno, da ne bo uvedena le ena metoda 2FA, temveč da jih lahko imate več, poleg tega pa bodo bolj dostopne, da boste zagotovili, da imate vedno dostop do računa.Zdaj lahko imate v svojem računu registrirano aplikacijo za preverjanje pristnosti (TOTP) in številko SMS. Medtem ko priporočamo uporabo varnostnih ključev in vaše aplikacije TOTP prek SMS-a, omogočanje obeh metod hkrati pomaga zmanjšati blokado računa z zagotavljanjem druge dostopne in razumljive možnosti 2FA, ki jo lahko omogočijo razvijalci;
- Izbira želene metode 2FA.
Nova prednostna možnost omogoča uporabniku, da konfigurira želeno metodo 2FA da se prijavite v račun in uporabite poziv sudo, zato je vaš želeni način vedno najprej vprašan ob prijavi. Izbirate lahko med TOTP, SMS, varnostnimi ključi ali GitHub Mobile kot prednostna metoda 2FA. Poleg tega je močno priporočljiva uporaba varnostnih ključev in TOTP, kadar koli je to mogoče. SMS 2FA ne ponuja enake ravni zaščite in ga NIST 800-63B ne priporoča več. Najzmogljivejše razpoložljive metode so tiste, ki podpirajo standard varnega preverjanja pristnosti WebAuthn. Te metode vključujejo fizične varnostne ključe, - Prekinitev povezave z e-pošto v primeru blokiranja 2FA.
Ker morajo imeti računi na GitHubu edinstven e-poštni naslov, imajo blokirani uporabniki težave pri ustvarjanju novega računa s svojim želenim e-poštnim naslovom, na katerega kažejo vse njihove obveznosti. S to funkcijo lahko dr zdaj prekine povezavo vašega e-poštnega naslova z dvofaktorskim računom GitHub, če se ne morete prijaviti ali ga obnoviti. Če ne najdete ključa SSH, ključa PAT ali naprave, ki je bila predhodno povezana z GitHub za obnovitev vašega računa, je enostavno začeti na novo z novim računom GitHub.com in ohraniti graf prispevkov zelen.
Končno, če vas zanima več o tem, si lahko ogledate podrobnosti v naslednja povezava.