GitHub wprowadzi obowiązek stosowania technologii 2FA

Znana dobrze wszystkim deweloperom witryna zamierza wzmocnić bezpieczeństwo swoich usług i zapowiada, że do końca 2023 roku wszyscy korzystający z nich użytkownicy będą musieli potwierdzać swoją tożsamość za pomocą czyli uwierzytelniania dwuskładnikowego (2FA).

Grafika: Jack Moreh/freerangestock

GitHub twierdzi iż zdecydował się na taki krok, gdyż poczynione przez niego badania wskazują na to, że większość naruszeń bezpieczeństwa nie jest wcale wynikiem wyrafinowanych ataków wykorzystujących np. luki zero-day. Są to w zdecydowanej większości proste ataki bazujące na socjotechnice czy też wykorzystujące skradzione poświadczenia, które pozwalają hakerom uzyskać dostęp do kont ofiar.

Przejęte konta mogą być wykorzystywane do kradzieży prywatnego kodu lub dołączania do niego szkodliwego oprogramowania. Dlatego według GitHub, najlepszą obroną jest odejście od prostych metod uwierzytelniania się i przejście uwierzytelnianie dwuskładnikowe.

Zobacz również:

  • Konkurs Pwn2Own obnażył słabość wielu produktów IT
  • GitHub promuje nowy rodzaj sponsoringu
  • Lapsus$ wykradli kod źródłowy operatora T-Mobile

Witryna podjęła już wcześniej stosowne kroki zmierzające w tym kierunku, wycofując np. podstawowe uwierzytelnianie w przypadku dostępu do niektórych funkcji. W przyszłości uwierzytelnianie dwuskładnikowe będzie obowiązywać zawsze. Obecnie tylko 16,5% aktywnych użytkowników witryny GitHub i 6,44% użytkowników usługi NPM korzysta z uwierzytelniania 2FA. To stanowczo za mało.

GitHub uruchomił niedawno uwierzytelnianie 2FA w przypadku korzystania z usługi GitHub Mobile. Technologia ta jest oferowana użytkownikom urządzeń Android i iOS. Obecnie GitHub zapowiada, że wskazana przez nią grupa 500 wiodących deweloperów będzie musiała stosować uwierzytelnianie 2FA już od 1 czerwca, a w następnych miesiącach będą nich dołączać kolejne grupy zarejestrowanych w tej witrynie programistów, po to aby w pewnym momencie reguła ta obowiązywała wszystkich bez wyjątku.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200