GitHub, kullanıcı tabanını, GIT işlemleri için şifre bazlı kimlik doğrulamasını engelledikten sonra iki faktörlü kimlik doğrulama (2FA) üzerinde geçiş yapar.
"Zaten yapmadıysanız, lütfen bu anı Github hesabınız için 2FA'yı etkinleştirmek için lütfen bu anı alın" dedi. Mike Hanley, "dedi.
"Multifactor kimlik doğrulamasının faydaları yaygın olarak belgelenir ve phishing gibi çok çeşitli saldırılara karşı korunur."
Hanley, fiziksel güvenlik anahtarları, telefonlar ve dizüstü bilgisayarlar gibi cihazlara ve zaman tabanlı bir kerelik şifre (TOTP) kimlik doğrulama uygulamaları gibi sanal güvenlik tuşları dahil olmak üzere, GitHub'da bulunan birkaç 2FA seçeneğinden birini kullanmanızı önerir.
SMS tabanlı 2FA da mevcut olsa da, GitHub, kullanıcıları, tehdit aktörlerinin SMS 2FA kimin belirteçlerini atlayabildiği veya çalabildiği için daha az güvenli olduğundan, SMS daha az güvenli olduğundan, kullanıcıları mümkün olan her yerde güvenlik anahtarlarını veya TOTP'leri seçmeye çağırır.
Github ayrıca SSH tuşları için güvenlik anahtarınızı nasıl etkinleştirebileceğiniz ve GIT taahhüt doğrulaması için bir adım adım video rehberi sağlar.
Git operasyonları yoluyla parolasız kimlik doğrulamasını uygulamak önemlidir, çünkü saldırganların çalınan kimlik bilgilerini kullanma girişimlerini önleyerek veya hesapları hesaplamak için şifreleri yeniden kullanmalarını engelleyerek GitHub Hesaplarının Devralma Girişimlerine karşı esnekliğini arttırır.
Microsoft'un kimlik güvenliği direktörü olan Alex Weinert olarak, birkaç yıl önce, "Şifreniz önemli değil, ancak MFA yaptığını, çalışmalarımıza dayanarak, hesabınızın% 99,9'dan daha düşük olması, MFA kullanıyorsanız "
Weinert ayrıca "Şifrenin ötesinde bir şeyin kullanımının" saldırganların maliyetlerini önemli ölçüde arttırdığını da ekledi; bu, herhangi bir MFA türünü kullanan hesapların uzlaşması oranı, genel popülasyonun% 0.1'inden az. "
Google Araştırmacıları ayrıca "Google hesabınıza bir kurtarma telefon numarası eklemek, otomatik botların% 100'üne, toplu kimlik avı saldırılarının% 100'ünü ve hedeflenen saldırıların% 66'sını engelleyebileceğini de belirtti."
Aynı zamanda, "Özellikle güvenlik anahtarlarını kullanan sıfır kullanıcılar, kimlik avını hedefledi."
Github, kullanıcıların geçen hafta, hesap şifrelerinin artık 13 Ağustos'la başlayan GIT işlemlerini doğrulamak için kabul edilmeyeceğini hatırlattı.
Değişim ilk önce GitHub, kimliği doğrulanmış git operasyonlarının SSH anahtar veya belirteci tabanlı kimlik doğrulama kullanılmasını gerektireceğini söyledi.
Github ayrıca, 2020 Kasım'da REST API üzerinden şifre doğrulamasını da devre dışı bıraktı ve Mayıs 2021'de FIDO2 güvenlik tuşlarını kullanarak SSH GIT işlemlerini güvence altına almak için destek eklendi.
Hesap güvenliği, iki faktörlü kimlik doğrulama, oturum açma uyarıları, doğrulanmış cihazlar, uzlaşmış şifrelerin kullanımını engelleyerek ve WebAuthn desteği ekleyerek yıllar boyunca iyileştirildi.
Twitter şimdi yalnızca 2FA yöntemi olarak güvenlik tuşlarını kullanmanıza izin verir.
GitHub, GIT işlemlerini doğrulamak için hesap şifrelerini kaldırır.
Google, Bluetooth Titan güvenlik anahtarlarını NFC sürümlerinin lehine bırakır.
Twitter şaşırtıcı derecede düşük iki faktörlü Auth (2FA) evlat edinme oranını ortaya koyuyor
Google, Chrome Extension Devs için 2FA'yı zorlamada gecikmeler bekliyor
Kaynak: Bleeping Computer