Mozilla要求Firefox外掛開發商啟用2FA

Mozilla近日要求Firefox外掛程式開發商帳號，需在2020年初啟用雙因素驗證（two-factor authentication，2FA）以確保不被駭客在其程式中動手腳。

Firefox外掛專用入口網站AMO（addons.mozilla.org）整合Firefox 帳號，後者可讓開發商管理多個Mozilla網站服務，2FA可為帳號提供多一道防護以避免有心人士存取。從明年初開始，外掛程式開發商將被主動要求AMO皆需啟用2FA，防止惡意程式作者在合法外掛程式入注入程式碼，危及終端用戶。

在政策正式上路前，Mozilla表示和Firefox帳號團隊合作讓2FA啟用更順暢，但在上路後，開發人員要修改其程式時都會被要求啟用2FA。當然現在就可以啟用了。利用AMO網站上傳API的開發商則不需強制啟用2FA。

Mozilla提醒開發商，一旦完成啟用後，應將回復碼下載或列印儲存在安全之處。這是因應開發商遺失2FA硬體無法登入帳號時重新登入之用。要是輸入的回復碼錯誤，可能導致永遠無法再登入帳號及AMO上的外掛程式。

瀏覽器外掛已經成安全一大漏洞。其中又以市佔率最大的Chrome的開發商為主要對象。去年有研究人員發現專門針對Chrome開發商的網釣攻擊，以便取得他們Chrome Web Store的存取帳密。今年9月才有一些冒充Adblock及uBlock等的惡意Chrome外掛被揭露，對超過300個網站進行廣告詐欺。