为了阻止黑客篡改软件供应链,GitHub将强制用户采用双因素身份验证(2FA)从3月13日开始。
这一要求将首先向一小部分用户推广,然后GitHub会随着时间的推移将这一要求扩大到更多人。目标是在2023年底之前强制所有用户执行2FA要求。
该公司在一份声明中写道:“如果你的账户被选中注册,你会收到电子邮件通知,并在GitHub.com上看到一个横幅,要求你注册。博客(在新窗口打开)周四。“你将有45天的时间在你的账户上配置2FA,在此之前,除了提醒外,使用GitHub的任何事情都不会改变。”
GitHub最初在去年宣布了2FA要求,理由是黑客攻击软件供应链的威胁。微软旗下的GitHub以代码存储库平台而闻名,开发人员可以在该平台上发布和贡献开源软件项目,并将其集成到自己的产品中。
GitHub已经吸引了全球超过1亿的开发人员。但是这个平台已经成为了滥用的目标。例如,黑客可以篡改GitHub上一个流行的编码项目,并导致它秘密加载恶意软件在电脑上。软件开发人员将恶意代码整合到自己的产品中,可能会无意中导致恶意代码传播。
此外,黑客还可以侵入GitHub开发人员的账户,窃取专有软件上的代码。GitHub首席安全官迈克·汉利表示:“开发者账户经常成为社会工程和账户接管的目标,保护开发者免受这类攻击是确保供应链安全的第一步,也是最关键的一步。”写了(在新窗口打开)在五月。
2 fa(又名多因素身份验证)可以阻止黑客,因为它迫使任何登录一个账户的人同时提供正确的密码和原账户持有人手机上生成的一次性密码。这会让事情变得更难,但也不是不可能,以便攻击者破门而入。
GitHub用户期待激活2FA(在新窗口打开)3月13日前可以去他们的账户设置。该平台通过一个身份验证应用程序,安全密钥虽然GitHub强烈建议用户放弃SMS选项。多年来,黑客已经证明,他们可以通过执行以下操作窃取通过短信生成的一次性密码SIM卡交换攻击死者的电话号码这样做可以让黑客拦截发送到设备上的电话和短信。
尽管如此,GitHub还是决定保留基于短信的2FA作为担心被锁定账户的用户的选择。该平台补充道:“你现在可以拥有一个验证程序(TOTP)和一个短信号码(在新窗口打开)同时在你的账户上注册。虽然我们建议通过短信使用安全密钥和TOTP应用程序,但同时允许这两者有助于减少帐户锁定,因为它提供了开发者可以启用的另一种易于理解的2FA选项。”