Github bugün, platformunda kod katkıda bulunan tüm kullanıcıların (toplam 83 milyon geliştirici) 2023 sonuna kadar hesaplarında iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmesi gerektiğini açıkladı.
2FA'yı etkinleştirmesi gereken aktif katkıda bulunanlar, ancak kod taahhüt eden, eylemleri kullanan, çekme isteklerini açan veya birleştiren veya paketleri yayınlayan GitHub kullanıcılarıyla sınırlı olmayan aktif katılımcılar.
Geliştiriciler, fiziksel güvenlik anahtarları, telefonlar ve dizüstü bilgisayarlar gibi cihazlarda yerleşik sanal güvenlik anahtarları veya zaman tabanlı bir kerelik şifre (TOTP) kimlik doğrulayıcı uygulamaları dahil olmak üzere bir veya daha fazla 2FA seçeneği kullanabilir.
SMS tabanlı 2FA aynı zamanda bir seçenek olsa da (bazı ülkelerde) GitHub, tehdit aktörleri SMS 2FA Auth belirteçlerini atlayabilir veya çalabildiğinden güvenlik anahtarlarına veya TOTP'lere geçmeye çağırır.
Baş güvenlik görevlisi Mike Hanley, "Github.com organizasyonu ve işletme sahipleri, kuruluşlarının ve işletmelerinin üyeleri için de 2FA gerektirebilir." Dedi.
"2FA kullanmayan kuruluş ve işletme üyelerinin ve sahiplerinin, bu ayarlar etkinleştirildiğinde kuruluştan veya işletmeden kaldırılacağını unutmayın."
Bu, GitHub'ın temel şifre tabanlı Auth'dan uzaklaşarak yazılım tedarik zincirini saldırılardan daha da güvence altına almak için en son adımıdır.
Kod barındırma platformu, daha önce e-posta tabanlı cihaz doğrulaması ve GIT işlemlerini doğrulamak için hesap şifrelerinin kullanımdan kaldırılmasını gerektireceğini açıklamıştı.
Github ayrıca Kasım 2020'de REST API üzerinden parola kimlikadını devre dışı bıraktı ve Mayıs 2021'de FIDO2 güvenlik anahtarlarını kullanarak SSH git operasyonlarının güvence altına alınması için destek ekledi.
GitHub ayrıca iki faktörlü kimlik doğrulama, oturum açma uyarıları, tehlikeye atılan şifrelerin kullanımını engelleyerek ve WebAuthn desteği ekleyerek yıllar içinde hesap güvenliğini geliştirdi.
GitHub hesaplarında iki faktörlü kimlik doğrulamanın etkinleştirilmesi, çalınan kimlik bilgilerini veya yeniden kullanılan şifreleri kullanma girişimlerini engelleyerek devralma girişimlerine karşı esnekliği artırır.
Microsoft'un Kimlik Güvenliği Direktörü Alex Weinert birkaç yıl önce açıkladığı gibi, "Şifreniz önemli değil, ancak MFA! Çalışmalarımıza dayanarak, hesabınızın MFA kullanırsanız% 99,9'dan daha az tehlikeye atılması."
Ayrıca "şifrenin ötesinde bir şeyin kullanımının saldırganların maliyetlerini önemli ölçüde artırdığını, bu nedenle herhangi bir MFA türünü kullanan hesapların uzlaşma oranı genel nüfusun% 0,1'inden az olduğunu söyledi."
Google ayrıca daha önce "Google hesabınıza bir kurtarma telefon numarası eklemek, otomatik botların% 100'üne kadar, toplu kimlik avı saldırılarının% 99'unu ve hedeflenen saldırıların% 66'sını engelleyebileceğini" açıklamıştı. hedeflenen kimlik avına kurban düştü. "
Hanley bugün, 2FA'nın kaçırmaya karşı hesapları güvence altına almanın basit bir yolunu kanıtlamış olmasına rağmen, "Aktif GitHub kullanıcılarının sadece% 16,5'i ve NPM kullanıcılarının% 6,44'ünün bir veya daha fazla 2FA formu kullandığını" ekledi.
GitHub, GitHub hesabınız için 2FA'nın nasıl yapılandırılacağı, 2FA kimlik bilgilerini kaybederken hesapları kurtarma ve kişisel hesaplar için 2FA'yı devre dışı bırakma hakkında ayrıntılı bilgi sağlar.
Github, kullanıcıları şifreden çıktıktan sonra 2FA'yı etkinleştirmeye çağırıyor
Github, yaptırım şirketlerinde Rus geliştiricilerinin hesaplarını askıya alıyor
GitHub artık yeni bağımlılıklarda tedarik zinciri hatalarını uyarabilir
Heroku, kullanıcı şifresi sıfırlanır ancak nedenini açıklayamaz
Açık Kaynak 'Paket Analizi' Aracı Kötü niyetli NPM, PYPI Paketleri Bulur
Kaynak: Bleeping Computer