5月5日是世界密码日,不过github认为密码已经不够了。开发资源平台github昨(4)日宣布一项新政策,要求所有在github.com上贡献程序代码的用户于2023年底激活双重验证(2 factor authentication,2fa)。
github首席安全官mike hanley指出,密码验证已不足以提供防御,过去两年,github陆续要求所有git操作及api都需要权限身份验证,以及在陌生设备访问github需另外提供电子邮件验证,也自2019年提供2fa的选项。此外,由于2021年11月发生开发人员账号被黑客劫持,导致npm组件遭劫持并改造成恶意版本,github进一步要求npm组件开发人员激活2fa。但今天github上的活跃用户,仅16.5%使用2fa,npm用户使用一种以上2fa的比例更只有6.44%。
为此,github展开一波强制实行2fa的行动作业。今年2月这个开发平台将100大npm组件的所有维护人员强制激活2fa。5月起,500大npm组件所有维护人员也将被强制激活。github预计在第3季让高影响力的组件,像是相依模块超过500个或每周下载次数超过100万的组件维护人员完成强制激活。github计划之后将npm组件实施2fa的经验推广到整个github.com上。
github呼吁开发人员尽快激活2fa验证。github说未来几个月内会公布更多细节及进程,也会设法改善用户的使用体验。
github上的组织或企业用户也可以通过设置,要求成员或员工使用2fa。一旦组织或企业激活这设置后,不激活2fa的成员甚至主持人会被踢出其组织。
使用双重验证或两步验证(2-step verification)已成主要网络平台的规范。脸书去年初强制要求记者、民权倡议人士或政治人物等高风险人士激活2fa。google也于去年初起强制google账号用户激活两步验证(2-step verification),今年该公司表示推行一年后,用户账号被窃的情形减少了50%。