Starając się jeszcze bardziej zabezpieczyć konta programistów i kod hostowany na swojej platformie, GitHub ogłosił, że jego użytkownicy będą musieli zarejestrować się w uwierzytelnianiu dwuskładnikowym (2FA) do końca przyszłego roku.
Dokładniej, każdy, kto wnosi kod na platformę należącą do firmy Microsoft, będzie musiał włączyć jedną lub więcej form 2FA.
Zgodnie z nową blogu od Mike'a Hanleya, szefa bezpieczeństwa GitHub, łańcuch dostaw oprogramowania zaczyna się od programistów, a konta programistów są często celem socjotechniki i przejmowania kont. Chroniąc programistów przed tego typu atakami, firma podejmuje pierwszy i najbardziej krytyczny krok w kierunku zabezpieczenia łańcucha dostaw oprogramowania.
W przyszłości GitHub planuje zbadać nowe sposoby bezpiecznego uwierzytelniania swoich użytkowników, w tym uwierzytelnianie bez hasła. W rzeczywistości, zaledwie w zeszłym roku, firma dodała możliwość używania kluczy bezpieczeństwa do uwierzytelniania w ramach swoich wysiłków na rzecz przyszłości bez haseł.
Zabezpieczenie łańcucha dostaw oprogramowania
W listopadzie ubiegłego roku GitHub zobowiązał się do nowych inwestycji w bezpieczeństwo kont npm po przejęciach pakietów npm, które były wynikiem złamanych kont deweloperów bez włączonej funkcji 2FA.
Chociaż luki dnia zerowego przyciągają wiele uwagi online, za większość naruszeń bezpieczeństwa odpowiadają tańsze ataki, takie jak socjotechnika, kradzież poświadczeń lub wycieki danych.
Zhakowane konta w serwisie GitHub mogą zostać użyte do kradzieży prywatnego kodu, a nawet do wprowadzenia złośliwych zmian w tym kodzie. Niestety, zagrożone są nie tylko osoby fizyczne i ich organizacje powiązane z tymi kontami, które zostały zhakowane, ale także wszyscy użytkownicy kodu, którego dotyczy luka.
Najlepszą ochroną przed złamanymi kontami użytkowników jest wyjście poza podstawowe uwierzytelnianie oparte na hasłach. Jednak tylko 16.5 procent wszystkich aktywnych użytkowników GitHub obecnie i 6.44 procent użytkowników npm korzysta z jednej lub więcej form 2FA.
Użytkownicy GitHub mają dużo czasu na przygotowanie się do tej zmiany, a firma niedawno uruchomiła 2FA dla GitHub mobile na iOS i Androida. Osoby zainteresowane nauką konfigurowania usługi GitHub Mobile 2FA mogą zapoznać się z tym dokumentem pomocy technicznej, aby rozpocząć.