GitHub oznámil, že všichni uživatelé, kteří budou chtít přispívat do repozitářů, budou muset do konce roku 2023 zapnout na svém účtu alespoň jednu metodu dvoufaktorové autentizace. Novinku zveřejnil na firemním blogu Mike Hanley, bezpečnostní šéf (CSO) společnosti. Vývojářské účty jsou častým cílem sociálního inženýrství a ochrana vývojářů před těmito typy útoků je tedy prvním a nejdůležitějším krokem k zabezpečení dodavatelského řetězce,
vysvětluje.
Většina bezpečnostních průniků není spojena se sofistikovanými zero-day útoky. Mnohem častější jsou levné postupy typu sociální inženýrství, krádež nebo únik přihlašovacích údajů či jiné metody umožňující útočníkovi přístup k účtu a zdrojům oběti. Kompromitované účty bývají zneužity ke krádežím soukromých dat či k vkládání škodlivých změn do kódu. Nakonec to tedy neohrožuje jen jednotlivé vývojáře či organizace, ale všechny uživatele, kteří jejich kód využívají.
Přes tato známá rizika jen 16,5 % vývojářů na GitHubu používá dvoufaktorovou autorizaci, která chrání před významnou částí útoků na uživatelské účty. Kvůli dřívějším útokům jsou už někteří exponovaní uživatelé nuceni dvoufaktor používat, jde například o správce stovky nejpopulárnějších balíčků NPM (Node Package Manager). Ke konci příštího roku bude dvoufaktorová autentizace povinná pro všechny.
GitHub podporuje několik různých metod dvoufaktorového přihlašování. Můžete použít libovolnou aplikaci generující jednorázové TOTP kódy, hardwarový USB token s WebAuthn nebo novou mobilní aplikaci GitHub Mobile 2FA. Pro více informací viz dokumentaci GitHubu k dvoufaktoru.
