GitHub 再次呼吁用户采取双因素认证机制
编译:代码卫士
GitHub 支持2FA 机制已有8年的时间,目前因不再接受通过账户密码认证 Git 操作,因此正在推广2FA的广泛使用。这一变化首次在2020年7月公布,自2021年8月13日起正式生效,它要求基于令牌的认证(个人访问令牌、SSH 密钥或OAuth 或 GitHub App 安装令牌)进行所有的 Git 操作。
为此,GitHub 鼓励所有用户启用 2FA 以更好地保护账户安全,再次提醒用户关于使用该功能的好处如更好地防御钓鱼等攻击。
尚未启用账户 2FA 的GitHub 用户可利用物理安全密钥,或使用内置到个人设备、TOTP 认证 app 或 SMS 的虚拟安全密钥。在超过五年的时间里,SMS 被认为是不安全的 2FA 选项,GitHub 强烈建议使用安全密钥或 TOTPs。
GitHub 表示,“基于 SMS 的2FA 并不会提供同等的防护措施,且不再受NIST 800-63B支持。使用最为广泛的方法是支持新出现的 WebAuthn 安全认证标准,包括物理安全密钥以及支持多种技术如 Windows Hello 或 Face ID/Touch ID 的个人设备。”
GitHub 解释称,通过安全密钥保护账户的用户也可通过存储在安全密钥上的 GPG 密钥数字签名 git commit。
Exploit 代码用于攻击中?GitHub 马上删除
详解通过 GitHub.com releases 可实施供应链攻击
Reddit 证实被黑,还有必要使用双因素认证机制吗?
https://www.securityweek.com/github-encourages-users-adopt-two-factor-authentication
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。