В начале мая веб-сервис для хостинга IT-проектов и их совместной разработки GitHub объявил, что будет требовать от всех активных разработчиков использование двухфакторной аутентификации (2FA). Включить эту опцию в своих аккаунтах до конца 2023 года должны более более 85 млн разработчиков со всего мира.
GitHub пояснил, что это касается всех разработчиков, кто делает с кодом следующие действия и сервисы на платформе: commit, Actions, Pull Requests (open, merge) и публикует пакеты (publish packages).
Разработчики могут использовать один или несколько вариантов двухфакторной аутентификации, включая физические ключи безопасности, виртуальные ключи безопасности на смартфонах и ноутбуках, или приложения, использующие алгоритм TOTP (Time-based one-time Password) для аутентификации с помощью одноразового пароля на основе времени.
Несмотря на то, что 2FA на основе SMS также является рабочим вариантом в некоторых странах, GitHub настоятельно рекомендует перейти на ключи безопасности или TOTP, поскольку злоумышленники могут обойти или украсть токены аутентификации SMS 2FA.
Сервис уточнил, что массовый переход на 2FA является последовательным шагом GitHub по дальнейшей защите цепочки поставок программного обеспечения от атак путем отказа от базовой аутентификации на основе пароля.
GitHub отключил аутентификацию по паролю через REST API в ноябре 2020 года. С 13 августа 2021 года GitHub отключил работу с операциями Git по паролю, теперь они возможны только по токену (персональные токены GitHub или OAuth) или с помощью SSH-ключей. Это было сделано для защиты пользователей и предотвращения использования злоумышленниками похищенных или взломанных паролей.
В начале апреля GitHub предложил инструмент безопасности для автоматической блокировки commits, содержащих ключи API и токены аутентификации.
