GitHub 推出双重认证以增强安全性

关键要点

• GitHub 将于 3 月 13 日开始正式实施双重认证（2FA）。
• 此措施旨在到 2023 年底之前，强制要求所有贡献者启用 2FA，提升超过 1 亿用户的账户安全，防止软件供应链攻击等威胁。
• 用户若入选将通过电子邮件收到通知，并有 45 天时间设置 2FA。
• GitHub 暂时支持 SMS 作为第二重认证方式，未来将测试使用 FIDO Alliance 的密码钥匙。

GitHub 宣布，将于 3 月 13 日正式启动双重认证（2FA），这是去年 5 月提出的一项计划，意在到 2023年底前强制所有贡献者启用该功能。这一要求如果顺利实施，将有助于为超过 1 亿用户的账户提供更好的安全防护，防止及其他针对平台的威胁。

在一篇中，GitHub表示：“我们将在接下来的一年中，开始联系一些开发者和管理员，首先从更小的群体开始，从 3 月 13 日起通知他们需要登记的
2FA。这种逐步推出的方式将帮助我们确保开发者能够顺利上手，并根据需要进行调整，然后再逐步扩大到更大的群体。”

被选中的开发者将收到电子邮件通知，并有 45 天的时间来配置他们账户的 2FA。在此期间，用户的账户可以正常使用，仅会有偶尔的提醒。

未被选中的用户如果想要启用 2FA，可以进行自主登记。

现在用 SMS，未来用密码钥匙

在宣布正式开始日期的同时，GitHub 还表示将支持 SMS 短信作为第二重认证手段，同时正在内部测试 FIDO 联盟的密码钥匙，以提升安全性。

尽管在安全领域，短信被认为较其它认证方式安全性欠佳，但一些专家仍对 GitHub 保留该选项表示赞赏。

“确实，基于知识的凭证使得 SMS 2FA 易受网络钓鱼攻击。但 GitHub 认识到这些风险，并强烈建议在可能的情况下使用安全钥匙和
TOTP，以提高安全性，并继续提供 SMS 作为 2FA 的选择，这总比完全去除该选项要好，” FIDO 联盟的执行董事 Andrew Shikiar说道。

GuidePoint Security 的应用安全工程实践负责人 Timothy De Block 补充道，SMS 提供了一定的便利，尤其是在账户恢复方面。

“如果手机丢失、被格式化，或者掉入厕所，身份验证应用将无法再与他们账户的身份验证机制同步。如果用户没有备份代码，恢复账户将变得困难。但通过
SMS，他们只需要一部配有相同号码的新手机，” Block 说。

GitHub 对 SMS 的支持与 Twitter则形成鲜明对比，后者在一个月前为非订阅用户。

关于密码钥匙，GitHub 未具体说明其部署时间表，但表示已在内部进行过测试。

安全专家们对密码钥匙评价很高，许多人认为它是防御软件供应链攻击的长期解决方案。

“密码钥匙改变了人们在线身份验证的传统方式，将根本缺陷的密码这一首要因素替换为一种不可钓鱼的主要身份验证因素，而后者几乎内置于每个现代计算设备中，”
Shikiar 说道。“许多针对云服务提供商 (CSP)
和软件供应链的攻击可追溯到弱身份验证和/或泄露的凭证。通过实施密码钥匙，主要攻击向量被去除，大大降低了黑客进行可扩展攻击的风险。”

“密码钥匙的普及也促成了一些新方法的采用，例如免密码身份验证、一次性使用的代码/魔法链接，这些方法在保证高安全性的同时提供了便利，同时确保最终用户的登录流程可预测。随着更好的普及，我预计它将很快成为主