GitHub сделал двухфакторную аутентификацию обязательной для активных разработчиков

GitHub сделал обязательной двухфакторную аутентификацию для всех пользователей, которые публикуют код. Начиная с 13 марта, эта мера безопасности будет применяться к различным группам пользователей, включая разработчиков, работающих с критически важными проектами в npm, OpenSSF, PyPI и RubyGems, а также тех, кто создает OAuth-приложения, GitHub-обработчики и пакеты. В дополнение, она охватит 4 миллиона самых популярных репозиториев.

До конца 2023 года все пользователи GitHub не смогут отправлять изменения без использования двухфакторной аутентификации. Пользователи будут получать электронные письма и уведомления на интерфейсе с предупреждением о необходимости перехода на двухфакторную аутентификацию. Если разработчик игнорирует предупреждения, ему будет дано 45 дней, чтобы настроить двухфакторную аутентификацию.

Для двухфакторной аутентификации можно использовать мобильное приложение, SMS или ключ доступа. Рекомендуется использовать приложения, создающие одноразовые пароли с ограниченным сроком действия (TOTP), такие как Authy, Google Authenticator и FreeOTP.

Обязательная двухфакторная аутентификация поможет усилить защиту процесса разработки и предотвратить внедрение вредоносных изменений в репозитории в результате утечки учетных данных, использования одного и того же пароля на скомпрометированных сайтах, взлома локальной системы разработчика или применения социальной инженерии.

По словам GitHub, одна из наиболее серьезных угроз – это получение злоумышленниками доступа к репозиториям в результате захвата учетных записей, поскольку в случае успешной атаки может произойти внедрение вредоносных изменений в популярные продукты и библиотеки, используемые как зависимости.