GitHub防黑客升级：码农要在明年年底前启用双因素证书

“该软件最终产品始于Ubuntu。社不会制度工程施工和账号偷袭商业活动特别把Ubuntu账号作为前提，因此确保Ubuntu免于此类偷袭是确保该软件最终产品确保性的第一步，也是最极为重要的一步。”当地时间5同年4日，GitHub助理确保官Mike Hanley在其网站当中确认GitHub新政策：在2023年底以前，所有在GitHub.com上贡献编译器的普通用户都必须落成至少一种基本上上的双诱因普通用户端(2FA)。

尽管双诱因普通用户端为在线账号获取了举足轻重的额外确保，但GitHub的内部研究确实，目前只有大约16.5%的活跃普通用户和6.44%的npm普通用户对其账号落成了增强的确保措施。

GitHub是当今世界数千万该软件开发人员用于的编译器保护地和平台。Hanley写道，“GitHub始终保持契合的位置，单凭GitHub.com上的绝大多数自由软件和创作者生态村，我们就可以通过减少确保标准来对整个生存自然环境的确保产生重大的积极冲击。”

确保自由软件该软件的确保一直是该软件企业紧迫关注的问题，更是是在前年令的企业和政府争相应对的当今世界计算机网络重大确保后果log4j漏洞最后。但是，尽管GitHub新政策将纾缓一些后果，但系统性挑战一直存在：许多自由软件该软件这两项仍由自费志愿者维护，缩小资金缺口一直被当作整个生物科技企业的主要问题。

双诱因普通用户端是什么？为什么GitHub忽视账号确保和双诱因普通用户端很举足轻重？

双诱因普通用户端草图

2FA（2 Factor Authentication，双诱因普通用户端），是指在秘密个人信息（密码本等）、个人物品（证明文件等）、生理特点（笔迹/浅棕色/人脸等）这三种诱因当中，同时用两种诱因展开审核。

Hanley写道，“大多数确保漏洞并非罕见的零日偷袭（Zero-day attacks，充分依靠先前无人知晓的漏洞施展偷袭）的当中间体，而是叫做很多低成本偷袭方法，如社不会制度工程施工（social engineering）、凭证打劫（credential theft）或泄漏，以及其他很多为几位正确性获取对受害人账号及其所有天然资源的为广泛到访司法权种系统。被入侵的账号可用于盗用私有编译器，或将隐私来得改推送到这些编译器上。这不仅不会将与受感染账号关的的个人和组织置于危险之当中，而且不会让所有用于受冲击编译器的普通用户都暴露在风险自然环境下。因此，这种偷袭可能对来得为广泛的该软件生存自然环境和最终产品下游产生巨大的冲击。”

这就是为什么双诱因普通用户端可以成为确保极为重要业务系统的有效率机制，因为这也就是说如果不良行为者获得了私人选定凭据，但依靠它们要困难得多。

如果一定会来得精确理解，那么可以思考，可用账号和密码本展开普通用户端不会有什么隐忧？

在因特网当中，每天都有大量网站招致破坏者偷袭以致有数据资料外泄，而这些数据资料当中就自带括普通用户的账号密码本。拿到账号密码本后，破坏者可以用它们试着选定其他网站，即“密码本撞库”。

那么为了防止密码本撞库，网站就不会采取来得多方法正确性几位个人信息，像GitHub发布的双诱因普通用户端、选定警报、通讯设备审核、防用泄露密码本等。

GitHub透露，2021年11同年，一些未落成2FA的Ubuntu账号招致入侵，导致很多npm自带（Node Package Manager，简称npm自带企业级）被维京人征用，为此GitHub建议在npm账号确保性方面投入来得多天然资源。

GitHub忽视，应对这种偷袭方法的最佳防御措施就是对原本基于密码本的基本上普通用户端方法展开换装。“GitHub已经朝这个方向迈出了一步，弃用了针对git操作和我们API的基本上普通用户端，并建议在普通默认和密码本以外加进基于电子邮件的通讯设备正确性。2FA是下顶上战线。”Hanley写道。

在月里的几个同年里，GitHub将回馈来得多关于强制GitHub.com普通用户换装到2FA的详细资料和原计划。