ตั้งแต่สัปดาห์หน้าเป็นต้นไป GitHub จะกำหนดให้นักพัฒนาที่ใช้งานอยู่บนเว็บไซต์เปิดใช้งานการยืนยันตัวตนแบบสองปัจจัย (2FA) อย่างน้อยหนึ่งรูปแบบ ความคิดริเริ่มด้านความปลอดภัยจะเริ่มต้นด้วยกลุ่มนักพัฒนาและผู้ดูแลระบบที่ได้รับการคัดเลือกเป็นพิเศษในวันที่ 13 มีนาคม
จนถึงสิ้นปี GitHub จะเริ่มแจ้งให้ผู้ที่ได้รับเลือกทราบถึงข้อกำหนด 2FA เมื่อปีที่ผ่านมา ผู้ใช้จำนวนมากขึ้นจะต้องเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย
ดูเพิ่มเติมที่:
เปิดตัวมาตรการรักษาความปลอดภัยใหม่ GitHub กล่าวว่า:”ในวันที่ 13 มีนาคม เราจะ เริ่มเปิดตัวโครงการริเริ่มของเราเพื่อกำหนดให้นักพัฒนาทุกคนที่ร่วมเขียนโค้ดบน GitHub.com เปิดใช้งานการยืนยันตัวตนแบบสองปัจจัย (2FA) อย่างน้อยหนึ่งรูปแบบภายในสิ้นปี 2023″
GitHub จะแสดงการแจ้งเตือนแบนเนอร์ ในบัญชีที่เลือกสำหรับการลงทะเบียนในโปรแกรมโดยแจ้งว่าจำเป็นต้องเปิดใช้ 2FA ภายใน 45 วัน เมื่อถึงวันกำหนดเส้นตาย ใครก็ตามที่ได้รับเลือกแต่ยังคงยื่นเรื่องเพื่อเปิดใช้งาน 2FA จะได้รับแจ้งให้ดำเนินการทุกวัน
การไม่เปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยหนึ่งสัปดาห์หลังจากกำหนดเส้นตายหมายถึงการสูญเสียการเข้าถึง GitHub คุณลักษณะจนกว่าจะเปิดใช้งาน
GitHub กล่าวว่ากำลังทำการเปลี่ยนแปลงหลายอย่างกับ’ประสบการณ์’ของ 2FA เพื่อให้การเปลี่ยนแปลงราบรื่น:
การตรวจสอบปัจจัยที่สองหลังจากการตั้งค่า 2FA ผู้ใช้ GitHub.com ที่ตั้งค่า 2FA จะเห็นข้อความแจ้งหลังจาก 28 วัน โดยขอให้ ดำเนินการ 2FA และยืนยันการตั้งค่าปัจจัยที่สอง ข้อความแจ้งนี้ช่วยหลีกเลี่ยงการล็อกบัญชีเนื่องจากแอปพลิเคชันตัวรับรองความถูกต้องที่กำหนดค่าไม่ถูกต้อง (แอพ TOTP) หากคุณพบว่าคุณไม่สามารถดำเนินการ 2FA ได้ คุณจะเห็นทางลัดที่ให้คุณรีเซ็ตการตั้งค่า 2FA ของคุณโดยไม่ถูกล็อคไม่ให้เข้าใช้บัญชีของคุณ ลงทะเบียนปัจจัยที่สอง การมีวิธีการ 2FA ที่เข้าถึงได้มากขึ้นเป็นสิ่งสำคัญเพื่อให้แน่ใจว่าคุณสามารถเข้าถึงบัญชีของคุณได้ตลอดเวลา ตอนนี้คุณมี ทั้งแอปยืนยันตัวตน (TOTP) และหมายเลข SMS ที่ลงทะเบียนในบัญชีของคุณพร้อมกัน ขณะที่ เราขอแนะนำ การใช้คีย์ความปลอดภัยและแอป TOTP ผ่าน SMS การอนุญาตทั้งสองอย่างพร้อมกันช่วยลดการล็อกบัญชีโดยให้ตัวเลือก 2FA ที่เข้าถึงได้และเข้าใจได้ซึ่งนักพัฒนาซอฟต์แวร์เปิดใช้งานได้เลือกวิธี 2FA ที่คุณต้องการ ใหม่ ตัวเลือกที่ต้องการ ช่วยให้คุณตั้งค่า วิธี 2FA ที่คุณต้องการสำหรับการเข้าสู่ระบบบัญชีและการใช้ sudo prompt ดังนั้นระบบจะถามวิธีที่คุณชอบก่อนเสมอระหว่างการลงชื่อเข้าใช้ คุณสามารถเลือกระหว่าง TOTP, SMS, คีย์ความปลอดภัย หรือ GitHub Mobile เป็นวิธี 2FA ที่คุณต้องการ เราขอแนะนำเป็นอย่างยิ่ง การใช้คีย์ความปลอดภัยและ TOTP ทุกครั้งที่ทำได้ 2FA ที่ใช้ SMS ไม่ได้ให้การป้องกันในระดับเดียวกัน และไม่แนะนำอีกต่อไปภายใต้ NIST 800-63B วิธีการที่แข็งแกร่งที่สุดที่มีอยู่ทั่วไปคือวิธีที่สนับสนุนมาตรฐานการรับรองความถูกต้องที่ปลอดภัยของ WebAuthn วิธีการเหล่านี้รวมถึงคีย์ความปลอดภัยทางกายภาพ และอุปกรณ์ส่วนบุคคลที่รองรับเทคโนโลยี เช่น Windows Hello หรือ Face ID/Touch IDยกเลิกการเชื่อมโยงอีเมลของคุณในกรณีที่มีการล็อกเอาต์ 2FA เนื่องจากบัญชีบน GitHub จำเป็นต้อง มีที่อยู่อีเมลที่ไม่ซ้ำใคร ผู้ใช้ที่ถูกล็อคมีปัญหาในการเริ่มต้นบัญชีใหม่โดยใช้ที่อยู่อีเมลที่พวกเขาต้องการ ซึ่งเป็นที่ที่พวกเขามุ่งมั่น ด้วยฟีเจอร์นี้ คุณสามารถยกเลิกการเชื่อมโยงที่อยู่อีเมลของคุณ จากบัญชี GitHub ที่เปิดใช้งานแบบ 2 ปัจจัย ในกรณีที่คุณไม่สามารถลงชื่อเข้าใช้หรือกู้คืนได้ หากคุณไม่พบคีย์ SSH, PAT หรืออุปกรณ์ที่เคยลงชื่อเข้าใช้ GitHub เพื่อกู้คืนบัญชีของคุณ คุณสามารถเริ่มต้นใหม่ได้ง่ายๆ ด้วยบัญชี GitHub.com ใหม่ และทำให้กราฟการสนับสนุนนั้นเป็นสีเขียวอย่างถูกต้อง
ดูข้อมูลเพิ่มเติมได้ใน บล็อกโพสต์ของ GitHub