5月4日,代码托管平台GitHub 宣布了一项新的账户保护机制,所有上传代码的开发者及用户账户必须在2023年底前启用一种或多种形式的双因素身份验证 (2FA)。
GitHub给定的2FA提供了多种选项,包括物理安全密钥、内置于手机和笔记本电脑等设备中的虚拟安全密钥、或基于时间的一次性密码 (TOTP) 身份验证器应用程序。尽管基于短信验证的2FA在一些国家和地区已经得到广泛应用,但GitHub仍希望用户启用安全密钥或 TOTP,在既往的攻击事件中,黑客已能够绕过或窃取短信验证信息。
根据GitHub此前的内部统计显示,只有约16.5%的活跃用户在账户上启用了增强的安全措施,鉴于该平台的用户群应该意识到仅有密码保护的风险,这个数字低得令人惊讶。但根据新的规定,如果用户账户没有在规定的最后期限内启用2FA,账户将会被GitHub注销。
无疑,GitHub的这一举措旨在增强账户的防护措施,以应对黑客接管用户账户造成的威胁。微软身份安全总监 Alex Weinert在几年前就曾表示,相比账户密码,多因素身份认证(MFA)显得更加重要,根据我研究,如果使用 MFA,帐户被盗用的可能性会降低 99.9% 以上。
谷歌此前也曾透露,只需在账户中添加一个辅助电话号码,就可以阻止多达 100% 的自动机器人攻击、99% 的批量网络钓鱼攻击和 66% 的定向攻击。
参考来源
https://www.bleepingcomputer.com/news/security/github-to-require-2fa-from-active-developers-by-the-end-of-2023/
