5月5日是世界密碼日,不過GitHub認為密碼已經不夠了。開發資源平臺GitHub昨(4)日宣布一項新政策,要求所有在GitHub.com上貢獻程式碼的使用者於2023年底啟用雙因素驗證(2 factor authentication,2FA)。

GitHub安全長Mike Hanley指出,密碼驗證已不足以提供防禦,過去兩年,GitHub陸續要求所有Git操作及API都需要權杖身份驗證,以及在陌生裝置存取GitHub需另外提供電子郵件驗證,也自2019年提供2FA的選項。此外,由於2021年11月發生開發人員帳號被駭客劫持,導致npm套件遭劫持並改造成惡意版本,GitHub進一步要求npm套件開發人員啟用2FA 。但今天GitHub上的活躍用戶,僅16.5%使用2FA,npm用戶使用一種以上2FA的比例更只有6.44%。

為此,GitHub展開一波強制實行2FA的行動作業。今年2月這個開發平臺將100 大npm套件的所有維護人員強制啟用2FA。5月起,500大npm套件所有維護人員也將被強制啟用。GitHub預計在第3季讓高影響力的套件,像是相依模組超過500個或每周下載次數超過100萬的套件維護人員完成強制啟用。GitHub計畫之後將npm套件實施2FA的經驗推廣到整個GitHub.com上。

GitHub呼籲開發人員儘速啟用2FA驗證。 GitHub說未來幾個月內會公佈更多細節及時程,也會設法改善用戶的使用體驗。

GitHub上的組織或企業用戶也可以透過設定,要求成員或員工使用2FA。一旦組織或企業啟用這設定後,不啟用 2FA的成員甚至主持人會被踢出其組織。

使用雙因素驗證或兩步驟驗證(2-step verification)已成主要網路平臺的規範。臉書去年初強制要求記者、民權倡議人士或政治人物等高風險人士啟用2FA。Google也於去年初起強制Google帳號用戶啟用兩步驟驗證(2-step verification),今年該公司表示推行一年後,用戶帳號被竊的情形減少了50%。


熱門新聞

Advertisement