Представители ИТ-хостинга GitHub сообщили, что к концу 2023 года активные разработчики, зарегистрированные на платформе, должны подключить функцию двухфакторной аутентификации.
Коснется большинства
Изменения касаются тех программистов, которые выполняют в репозитории следующие действия с кодом: commit, Actions, запросы на слияние open и merge, публикация пакетов. Таким образом, необходимость включения 2FA-опции затронет примерно 85 млн разработчиков со всего мира.
Компания допускает применение нескольких вариантов двухфакторной аутентификации. Программисты могут использовать физические ключи безопасности или их виртуальные аналоги для смартфонов и ноутбуков, а также приложения с алгоритмом Time-based one-time Password (TOTP) для входа в систему при помощи одноразового пароля, существующего непродолжительное время.
Кроме того, в некоторых странах разработчики могут подключить двухфакторную аутентификацию на основе SMS. Однако GitHub рекомендует применять эту опцию лишь в крайнем случае и отдать предпочтение ключам безопасности или TOTP. Мобильные сообщения недостаточно защищены, злоумышленники могут обойти или украсть токены аутентификации SMS 2FA.
Курс на безопасность
В GitHub пояснили, что полный переход на двухфакторную аутентификацию – это последовательный шаг сервиса, направленный на отказ от входа в систему на основе стандартного пароля для дальнейшей защиты цепочек поставок программного обеспечения от атак.
Компания уже в течение двух лет придерживается этой стратегии. В ноябре 2020 года GitHub заблокировал аутентификацию по паролю через REST API. С 13 августа 2021 года отключены все git-операции по паролю, для них нужно использовать либо персональные токены GitHub и OAuth, либо SSH-ключи. Это изменение внесено для того, чтобы обезопасить пользователей от рисков применения злоумышленниками похищенных или взломанных паролей.
В апреле 2022 года GitHub представил инструмент, который сканирует репозитории на наличие в них конфиденциальных ключей безопасности. Утилита использует четко идентифицируемые шаблоны, благодаря чему способна обнаруживать 69 типов токенов, в том числе ключи API, токены аутентификации, токены доступа, сертификаты управления, учетные данные, закрытые ключи, секретные ключи.