查看原文
其他

GitHub 再次呼吁用户采取双因素认证机制

Ionut Arghire 代码卫士 2023-06-06

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


软件仓库平台 GitHub 再次鼓励用户启用双因素 (2FA) 认证机制,更好地保护账户安全。


GitHub 支持2FA 机制已有8年的时间,目前因不再接受通过账户密码认证 Git 操作,因此正在推广2FA的广泛使用。这一变化首次在2020年7月公布,自2021年8月13日起正式生效,它要求基于令牌的认证(个人访问令牌、SSH 密钥或OAuth 或 GitHub App 安装令牌)进行所有的 Git 操作。

为此,GitHub 鼓励所有用户启用 2FA 以更好地保护账户安全,再次提醒用户关于使用该功能的好处如更好地防御钓鱼等攻击。

尚未启用账户 2FA 的GitHub 用户可利用物理安全密钥,或使用内置到个人设备、TOTP 认证 app 或 SMS 的虚拟安全密钥。在超过五年的时间里,SMS 被认为是不安全的 2FA 选项,GitHub 强烈建议使用安全密钥或 TOTPs。

GitHub 表示,“基于 SMS 的2FA 并不会提供同等的防护措施,且不再受NIST 800-63B支持。使用最为广泛的方法是支持新出现的 WebAuthn 安全认证标准,包括物理安全密钥以及支持多种技术如 Windows Hello 或 Face ID/Touch ID 的个人设备。”

GitHub 解释称,通过安全密钥保护账户的用户也可通过存储在安全密钥上的 GPG 密钥数字签名 git commit。






推荐阅读
谷歌开源Allstar 项目,保护GitHub 仓库安全
Exploit 代码用于攻击中?GitHub 马上删除
详解通过 GitHub.com releases 可实施供应链攻击
Reddit 证实被黑,还有必要使用双因素认证机制吗?





原文链接

https://www.securityweek.com/github-encourages-users-adopt-two-factor-authentication


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存