GitHub twierdzi iż zdecydował się na taki krok, gdyż poczynione przez niego badania wskazują na to, że większość naruszeń bezpieczeństwa nie jest wcale wynikiem wyrafinowanych ataków wykorzystujących np. luki zero-day. Są to w zdecydowanej większości proste ataki bazujące na socjotechnice czy też wykorzystujące skradzione poświadczenia, które pozwalają hakerom uzyskać dostęp do kont ofiar.

Przejęte konta mogą być wykorzystywane do kradzieży prywatnego kodu lub dołączania do niego szkodliwego oprogramowania. Dlatego według GitHub, najlepszą obroną jest odejście od prostych metod uwierzytelniania się i przejście uwierzytelnianie dwuskładnikowe.

Zobacz również:

• Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie
• GitHub prezentuje funkcję wykorzystującą AI, która automatycznie skanuje i naprawia kod aplikacji
• Google ogłasza ogólną dostępność uwierzytelniania się za pomocą kluczy dostępu

Witryna podjęła już wcześniej stosowne kroki zmierzające w tym kierunku, wycofując np. podstawowe uwierzytelnianie w przypadku dostępu do niektórych funkcji. W przyszłości uwierzytelnianie dwuskładnikowe będzie obowiązywać zawsze. Obecnie tylko 16,5% aktywnych użytkowników witryny GitHub i 6,44% użytkowników usługi NPM korzysta z uwierzytelniania 2FA. To stanowczo za mało.

GitHub uruchomił niedawno uwierzytelnianie 2FA w przypadku korzystania z usługi GitHub Mobile. Technologia ta jest oferowana użytkownikom urządzeń Android i iOS. Obecnie GitHub zapowiada, że wskazana przez nią grupa 500 wiodących deweloperów będzie musiała stosować uwierzytelnianie 2FA już od 1 czerwca, a w następnych miesiącach będą nich dołączać kolejne grupy zarejestrowanych w tej witrynie programistów, po to aby w pewnym momencie reguła ta obowiązywała wszystkich bez wyjątku.