GitHub dự định tăng cường bảo mật cho người dùng bằng cách triển khai 2FA
Bắt đầu từ tuần sau, GitHub sẽ yêu cầu các nhà phát triển tích cực ở nơi kích hoạt ít nhất một hình thức xác thực của hai yếu tố (2FA). Sáng kiến bảo mật bắt đầu vào ngày 13 tháng XNUMX với các nhóm nhà phát triển và quản trị viên được lựa chọn đặc biệt.
Cho đến cuối năm, GitHub sẽ bắt đầu thông báo cho những người được chọn về yêu cầu sử dụng xác thực hai yếu tố. Khi năm trôi qua, ngày càng nhiều người dùng sẽ buộc phải kích hoạt xác thực hai yếu tố.
Khi phát hành các biện pháp bảo mật mới, GitHub tuyên bố:
"Vào ngày 13 tháng 2, chúng tôi sẽ chính thức bắt đầu triển khai sáng kiến yêu cầu tất cả các nhà phát triển đóng góp mã cho GitHub.com để kích hoạt một hoặc nhiều hình thức xác thực hai yếu tố (2023FA) vào cuối năm XNUMX."
GitHub sẽ hiển thị một biểu ngữ thông báo trêns tài khoản được chọn tham gia chương trình, thông báo cho họ nhu cầu kích hoạt xác thực hai yếu tố trong vòng 45 ngày. Vào ngày hết hạn, những người đã được chọn nhưng chưa hoàn thành biểu mẫu kích hoạt 2FA sẽ được nhắc thực hiện hàng ngày.
nếu xác thực hai yếu tố không được kích hoạt một tuần sau thời hạn, quyền truy cập sẽ bị xóa vào tính năng GitHub cho đến khi nó được kích hoạt.
GitHub nói đang thực hiện một số thay đổi đối với "trải nghiệm" 2FA để dễ dàng chuyển đổi:
- Xác thực yếu tố thứ hai sau khi thiết lập 2FA.
Điều này nhằm đảm bảo rằng người dùng GitHub đã định cấu hình 2FA sẽ thấy thông báo sau 28 ngày yêu cầu họ chạy 2FA và xác nhận cấu hình yếu tố thứ hai. Thông báo này giúp ngăn chặn việc khóa tài khoản do ứng dụng xác thực bị định cấu hình sai (ứng dụng TOTP). Nếu không thể thực hiện xác thực 2FA, một lối tắt sẽ cho phép bạn đặt lại cài đặt xác thực 2FA mà không bị khóa tài khoản. - Viết thừa số thứ hai
Với thay đổi này, dự định không chỉ triển khai một phương thức 2FA mà bạn có thể có nhiều hơn, ngoài việc làm cho chúng dễ truy cập hơn để đảm bảo rằng bạn luôn có quyền truy cập vào tài khoản.Giờ đây, bạn có thể có một ứng dụng xác thực (TOTP) và số SMS đã đăng ký vào tài khoản của mình. Mặc dù chúng tôi khuyên bạn nên sử dụng khóa bảo mật và ứng dụng TOTP của bạn qua SMS, nhưng việc cho phép đồng thời sử dụng cả hai phương pháp sẽ giúp giảm tình trạng khóa tài khoản bằng cách cung cấp một tùy chọn xác thực 2 yếu tố dễ hiểu và dễ tiếp cận khác mà nhà phát triển có thể kích hoạt;
- Lựa chọn phương pháp 2FA ưa thích.
Tùy chọn ưa thích mới cho phép người dùng định cấu hình phương thức 2FA ưa thích của họ để đăng nhập vào tài khoản và sử dụng lời nhắc sudo, vì vậy phương pháp ưa thích của bạn luôn được hỏi đầu tiên khi đăng nhập. Bạn có thể chọn giữa TOTP, SMS, khóa bảo mật hoặc GitHub Mobile như phương pháp 2FA ưa thích. Ngoài ra, bạn nên sử dụng khóa bảo mật và TOTP bất cứ khi nào có thể. SMS 2FA không cung cấp cùng mức độ bảo vệ và không còn được khuyến nghị bởi NIST 800-63B. Các phương thức mạnh mẽ nhất hiện có là những phương thức hỗ trợ tiêu chuẩn xác thực bảo mật WebAuthn. Các phương pháp này bao gồm khóa bảo mật vật lý, - Hủy liên kết email trong trường hợp chặn 2FA.
Vì các tài khoản trên GitHub phải có một địa chỉ email duy nhất, người dùng bị chặn gặp khó khăn khi tạo tài khoản mới với địa chỉ email ưa thích của họ, mà tất cả các cam kết của họ đều trỏ đến. Với tính năng này, giờ đây dr có thể hủy liên kết địa chỉ email của bạn khỏi tài khoản GitHub hai yếu tố trong trường hợp bạn không thể đăng nhập hoặc khôi phục nó. Nếu bạn không thể tìm thấy khóa SSH, khóa PAT hoặc thiết bị đã kết nối với GitHub trước đây để khôi phục tài khoản của mình, thật dễ dàng để bắt đầu làm mới với tài khoản GitHub.com mới và giữ cho biểu đồ đóng góp của bạn có màu xanh lá cây.
Cuối cùng, nếu bạn quan tâm có thể biết thêm về nó, bạn có thể tham khảo chi tiết tại mục liên kết theo dõi.