Бесплатно Экспресс-аудит сайта:

12.05.2022

GitHub значительно улучшил 2FA для npm-аккаунтов

Вчера GitHub запустил новое публичное бета-тестирование со значительно улучшенной двухфакторной аутентификацией всех npm-аккаунтов. По словам Майлза Боринса, менеджера GitHub по продуктам с открытым исходным кодом, теперь владельцы учетных записей npm могут делать двухфакторную защиту многофакторной, добавляя к ней ключи безопасности, биометрические устройства и приложения для аутентификации. Также площадка представила новое меню конфигурации 2FA, позволяющее пользователям управлять зарегистрированными ключами безопасности и кодами восстановления. Появились новые дополнительные функции – возможность просмотра и повторной генерации кодов восстановления, а также полная поддержка CLI.

Участники публичного бета-тестирования смогут входить в систему и публиковать данные через CLI, используя физические ключи безопасности и биометрические устройства.

Эти изменения начались после декабрьского запуска усиленных методов аутентификации для всех npm-издателей в качестве ответа на массовые взломы аккаунтов. Два месяца спустя GitHub ввел 2FA для всех издателей npm-пакетов из топ-100 , а в начале 2022 года – для всех издателей пакетов из топ-500.

На прошлой неделе GitHub также объявил , что все активные разработчики обязаны включить двухфакторную аутентификацию на своих аккаунтах до конца следующего года. Разработчики могут использовать несколько вариантов 2FA для защиты своих аккаунтов, включая физические ключи безопасности, виртуальные ключи безопасности и приложения аутентификации на основе одноразового пароля (TOTP).

Хотя 2FA на основе SMS также является опцией (только в некоторых странах ), GitHub призвал пользователей перейти на ключи безопасности или TOTP, подчеркивая возможность обхода SMS 2FA или кражи токенов авторизации, отправленных по SMS.

Новое публичное бета-тестирование – последний шаг GitHub по защите цепочки поставок программного обеспечения от атак хакеров.

Недавно мы писали про целенаправленную атаку на GitHub. Киберпреступник похитил OAuth-токены интеграторов Heroku и Travis CI и использовал их для кражи частных репозиториев нескольких организаций.