從下週開始,GitHub 將要求網站上的活躍開發人員啟用至少一種形式的雙因素身份驗證 (2FA)。該安全計劃將於 3 月 13 日從特別選定的開發人員和管理員組開始。
到今年年底,GitHub 將開始通知那些被選中的人員 2FA 要求。隨著時間的推移,越來越多的用戶將不得不啟用雙因素身份驗證。
另請參閱:
啟動新的安全措施,GitHub 說:“3 月 13 日,我們將正式開始推出我們的計劃,要求所有在 GitHub.com 上貢獻代碼的開發人員在 2023 年底之前啟用一種或多種形式的雙因素身份驗證 (2FA)。
GitHub 將顯示橫幅通知針對選擇註冊該計劃的帳戶,告知他們需要在 45 天內啟用 2FA。當截止日期臨近時,任何被選中但仍提交啟用 2FA 的人都會收到每天的提示。
在截止日期後一周未能啟用雙因素身份驗證將意味著失去對 GitHub 的訪問權限功能,直到它被啟用。
GitHub 表示它正在對 2FA“體驗”進行各種更改以平滑過渡:
2FA 設置後的第二因素驗證。 設置 2FA 的 GitHub.com 用戶將在 28 天后看到提示,要求他們執行 2FA 並確認他們的第二因素設置。此提示有助於避免由於身份驗證器應用程序(TOTP 應用程序)配置錯誤而導致帳戶鎖定。如果您發現無法執行 2FA,系統會向您顯示一個快捷方式,讓您可以重置 2FA 設置,而不會被鎖定在您的帳戶之外。註冊第二因素。擁有更易於訪問的 2FA 方法對於確保您始終可以訪問您的帳戶非常重要。您現在可以擁有 身份驗證器應用程序 (TOTP) 和短信號碼同時在您的帳戶上註冊。雖然我們建議 通過 SMS 使用安全密鑰和您的 TOTP 應用,同時允許兩者通過提供開發人員可以啟用的另一個易於訪問、易於理解的 2FA 選項來幫助減少帳戶鎖定。選擇您喜歡的 2FA 方法。新的首選選項讓您能夠設置您用於帳戶登錄和使用 sudo 提示的首選 2FA 方法,因此在登錄期間總是首先詢問您最喜歡的方法。您可以選擇 TOTP、SMS、安全密鑰或 GitHub Mobile 作為您的首選 2FA 方法。我們強烈推薦 盡可能使用安全密鑰和 TOTP。基於 SMS 的 2FA 不提供相同級別的保護,NIST 800-63B 不再推薦它。廣泛可用的最強方法是那些支持 WebAuthn 安全身份驗證標準的方法。這些方法包括物理安全密鑰,以及支持 Windows Hello 或 Face ID/Touch ID 等技術的個人設備。在 2FA 鎖定的情況下取消鏈接您的電子郵件。由於 GitHub 上的帳戶需要有一個唯一的電子郵件地址,被鎖定的用戶很難使用他們首選的電子郵件地址開始一個新帳戶——他們所有的提交都指向這個地址。有了這個功能,您現在可以取消鏈接您的電子郵件地址,以防您無法登錄或恢復它。如果您無法找到 SSH 密鑰、PAT 或之前登錄到 GitHub 的設備來恢復您的帳戶,可以很容易地使用新的 GitHub.com 帳戶重新開始並保持該貢獻圖正確地顯示為綠色。
更多信息可在 GitHub 的博文。