GitHub要求开发人员(code contributors)在2023年底前采用双因子认证机制(2 factor authentication,2FA)

GitHub要求开发人员(code contributors)在2023年底前采用双因子认证机制(2 factor authentication,2FA)
github 2fa

原文报道:https://www.techradar.com/news/github-will-require-all-developers-to-enroll-in-2fa-by-the-end-of-2023

2022年5月5日,是世界密码日,不过GitHub认为密码已经不够了。开发资源平台GitHub昨(4)日宣布一项新政策,要求所有在GitHub.com上贡献程序代码的用户于2023年底激活双重验证(2 factor authentication,2FA)。
GitHub首席安全官Mike Hanley指出,密码验证已不足以提供防御,过去两年,GitHub陆续要求所有Git操作及API都需要权限身份验证,以及在陌生设备访问GitHub需另外提供电子邮件验证,也自2019年提供2FA的选项。此外,由于2021年11月发生开发人员账号被黑客劫持,导致npm组件遭劫持并改造成恶意版本,GitHub进一步要求npm组件开发人员激活2FA。但今天GitHub上的活跃用户,仅16.5%使用2FA,npm用户使用一种以上2FA的比例更只有6.44%。
为此,GitHub展开一波强制实行2FA的行动作业。今年2月这个开发平台将100大npm组件的所有维护人员强制激活2FA。5月起,500大npm组件所有维护人员也将被强制激活。GitHub预计在第3季让高影响力的组件,像是相依模块超过500个或每周下载次数超过100万的组件维护人员完成强制激活。GitHub计划之后将npm组件实施2FA的经验推广到整个GitHub.com上。
GitHub呼吁开发人员尽快激活2FA验证。GitHub说未来几个月内会公布更多细节及进程,也会设法改善用户的使用体验。
GitHub上的组织或企业用户也可以通过设置,要求成员或员工使用2FA。一旦组织或企业激活这设置后,不激活2FA的成员甚至主持人会被踢出其组织。
使用双重验证或两步验证(2-step verification)已成主要网络平台的规范。脸书去年初强制要求记者、民权倡议人士或政治人物等高风险人士激活2FA。Google也于去年初起强制Google账号用户激活两步验证(2-step verification),今年该公司表示推行一年后,用户账号被窃的情形减少了50%。

双因素认证的含义及工作原理
双因素认证是一种账号验证过程,顾名思义,除用户名和密码之外还需要第二因素核验用户的登录凭证。第二因素很难被网络不法分子复制,例如个人安全问题或发送到个人安全设备上的动态密码。
双因素认证的步骤根据所选验证因素略有不同,比如设置成个人安全问题可能要回答母亲的婚前姓氏,或儿时居住的街道名称等,设置成动态密码就需要在登录界面输入发送到用户移动设备上的临时登录密码。但无论设置哪种第二因素,都要求用户在输入用户名和密码后提供额外的安全提示。
对于最高级别的访问管理,大多数双因素认证工具会要求用户每次登录都出示安全提示。
双因素认证示例
安全问题或验证码推送可能是常见的第二因素,但还有许多其他身份验证因素可供选择。在双因素认证中,第二因素通常为用户的持有物或生理特征。

  1. 安全问题
    和用户创建的密码一样属于个人知识,例如第一只宠物的名字或中学名称等,但安全问题反而能提升身份安全。
  2. 持有物
    指安全的个人手机等私人设备,用户登录时需要输入发送给这些设备的动态密码。
  3. 生理特征
    采用了生物识别技术,比如机场的视网膜扫描仪,或者手机上的指纹解锁。
    上述方案都有各自的优缺点,但究竟哪种方案更合适还是取决于企业自身的需求。
    双因素认证在身份和访问管理中的作用
    身份和访问管理(IAM)是企业用来控制对IT资源和设备的访问权限及访问许可级别的总体策略。多因素认证(MFA)也属于IAM,但双因素认证本身并不是完整的IAM安全解决方案。比起IAM策略,双因素认证更像为补充完整解决方案的最终安全层。
    双因素认证的使用场景
    简单来说,双因素认证用于保护业务系统账号,否则业务系统很容易遭遇账号接管攻击,最终导致大规模的数据泄露。
    双因素认证的优缺点
    使用多因素认证的好处显而易见:恶意黑客仅凭密码无法访问企业身份的情况下,企业账号就变得难以渗透。此外,使用双因素认证后,即使数据泄露导致公司密码被窃取,企业账号依然处于安全防护中。
    另一方面,安全性的提升可能会给员工操作带来不便,根据企业选择的第二因素,可能会产生不同问题。
  4. 安全问题
    员工需要另外记住问题的答案,员工忘记答案时,密码锁定情况可能会增加。
  5. 动态密码
    不随身携带手机的员工可能无法访问企业账号。
  6. 生物特征
    生物识别是最难伪造的身份验证因素,但为了顺利工作,企业必须为所有员工配备兼容生物识别的设备或扫描仪,这些仪器的费用也大幅增加了成本。
    虽然双因素认证可能会增加登录所用时长,但对于提升安全性而言仍十分必要,因此双因素认证仍是打造企业业务安全策略的重要措施。
    宁盾双因素认证为企业的业务系统、网络接入、和数据中心基础设施保驾护航,在提升账号安全的同时依然保留良好的用户体验:
  7. 简化管理,优化体验
    宁盾双因素认证系统借助“扫一扫”、生物识别、手机APP推送等多种令牌形式获取动态密码,大大减少了密码管理的人力成本,优化了员工体验,助力企业加速数字化转型。
  8. 提升登录认证安全
    静态密码+动态密码双重身份认证,解决弱密码隐患,严格保障企业账号安全。
  9. 集中审计,实名追溯
    宁盾双因素认证系统能够详尽记录用户登录名、登入登出时间、用户IP等信息,发生安全事件时可定位到个人,做到用户认证可审计。
  10. 成本优势显著
    避免定期修改高强度密码带来的工作以及密码遗忘引起无法正常办公及IT运维的支持成本和经常性支出。
    疫情时代,远程办公将成为新常态,企业为了维护日益增加的资产,加强账号安全成为主流趋势。采用双因素认证可加强身份鉴别,提升内网安全,助力企业加快数字化转型。
京ICP备11047313号-19 彩虹岛电子书