Github双因素身份验证

发布于 2023-04-26  1.81k 次阅读


    2022年5月5号GitHub宣布,在2023年之前,所有使用GitHub平台存储代码、做开源贡献的开发者都需要启动一种或多种双因素身份认证(2FA),否则将无法正常使用该平台

    GitHub 首席安全官(CSO)Mike Hanley 表示,软件供应链的起点是开发者。开发者账户经常会成为社会工程和账户接管的目标,保护开发者免受这些类型的攻击是保护供应链安全的第一步,也是最关键的一步

1. 为什么需要开启2FA验证(two-factor authentication)

常遇到的很多安全漏洞并非是来自非常复杂的攻击事件亦或是零日漏洞,相反,往往是涉及低成本的攻击,如社会工程、密码泄露等。

据 GitHub 博客报道,2021 年 11 月,由于未启用 2FA 的开发者账户遭到入侵,有不少 npm 包被接管。

此外,早期也有不少安全研究人员透露,其可以直接访问 14% 的 npm 包(或者间接访问 54% 的包)。

还有媒体报道,曾被黑客入侵的 Microsoft 账户中,有 99.9% 未启用 2FA。

Mike Hanley 表示,防止低成本攻击的最好方法是采取基于密码的基本认证方法之外的一些措施,当前 GitHub 除了要求用户名、密码登录之外,还要求基于电子邮件的设备验证。如今,2FA 将是下一道防线。

虽然有很多场景已经验证了 2FA 的有效性,但 2FA 在整个软件生态系统中的采用率仍然很低。据 GitHub 内部研究表明,目前有 16.5% 的开发者对自己的账户启用了增强的安全措施,这一占比仅有六分之一。另外,也只有 6.44% 的 npm 用户启用了 2FA。

2.怎么样开启2FA

① 点击开启2FA会进入2FA的认证页面

使用浏览器插件进行二维码扫描: