GitHub wymusi 2FA

GitHub w końcu zabiera się do wymuszania uwierzytelniania dwuskładnikowego (2FA) we wszystkich projektach wyświetlających kod na swojej stronie w celu zabezpieczenia konta i ataków typu man-in-the-middle.

Dlaczego GitHub wymusi 2FA?

GitHub, jedno z największych na świecie repozytoriów oprogramowania, jest stałym celem atakujących, którzy chcą wykorzystać ogromny zasięg biblioteki. Konta są chronione jak każdy inny zasób online — za pomocą haseł. Ale ponieważ projektami zarządzają ludzie, problemy z hasłami mogą pozwolić przestępcom na przejęcie kont. I to nawet nie liczy potencjalnych naruszeń danych, które podążają innymi ścieżkami do tego samego wyniku.

Przeczytaj również – Haker zaatakował Indian Bank

Brak unikalnego hasła do konta lub użycie bardzo prostego hasła może narazić projekt na niebezpieczeństwo. A ponieważ wiele projektów GitHub jest używanych przez innych programistów i firmy na całym świecie, przejęte konto projektu może pozwolić atakującemu na wstrzyknięcie złośliwego kodu. Egzekwowanie 2FA ma wreszcie stać się obowiązkowe po tym, jak na początku programu zaangażowany był tylko mniejszy podzbiór projektów.

Stopniowe wprowadzanie 2FA

„W ciągu następnego roku będziemy kontaktować się z grupami programistów i administratorów, zaczynając od mniejszych grup 13 marca, aby powiadomić ich o wymogu rejestracji 2FA” – poinformowała firma na swojej stronie internetowej.

„Będziesz miał 45 dni na skonfigurowanie 2FA na swoim koncie – przed tą datą nic się nie zmieni w korzystaniu z GitHub, z wyjątkiem przypomnień. Powiadomimy Cię, kiedy zbliża się termin włączenia, a gdy minie, będziesz zmuszony do włączenia 2FA przy pierwszym dostępie do GitHub.com” – dodała firma.

Ponieważ tak wiele projektów jest hostowanych na GitHub, wymuszenie go dla wszystkich w tym samym czasie jest niemożliwe. Ukończenie całego wdrożenia zajmie większą część roku.