GitHub призывает пользователей включить 2FA после отказа от пароля

28
Выпущен бесплатный мастер-дешифратор программ-вымогателей REvil для прошлых жертв

GitHub призывает свою пользовательскую базу переключиться на двухфакторную аутентификацию (2FA) после отказа от аутентификации на основе пароля для операций Git.

«Если вы еще этого не сделали, воспользуйтесь моментом, чтобы включить 2FA для своей учетной записи GitHub», – сказал директор по безопасности компании Майк Хэнли.

«Преимущества многофакторной аутентификации широко задокументированы и защищают от широкого спектра атак, таких как фишинг».

Хэнли рекомендует использовать один из нескольких вариантов 2FA, доступных на GitHub, включая ключи физической безопасности, виртуальные ключи безопасности, встроенные в такие устройства, как телефоны и ноутбуки, или приложения-аутентификаторы с одноразовым паролем на основе времени (TOTP).

Хотя двухфакторная аутентификация на основе SMS также доступна, GitHub призывает пользователей по возможности выбирать ключи безопасности или TOTP, поскольку SMS менее безопасен, поскольку злоумышленники могут обойти или украсть токены аутентификации двухфакторной аутентификации SMS.

GitHub также предоставляет пошаговое видео-руководство о том, как включить ключ безопасности для ключей SSH и проверки фиксации Git.

Почему так важна 2FA?

Обеспечение аутентификации без пароля с помощью операций Git важно, поскольку оно повышает устойчивость учетных записей GitHub к попыткам захвата, предотвращая попытки злоумышленников использовать украденные учетные данные или повторно используемые пароли для взлома учетных записей.

Как сказал несколько лет назад Алекс Вайнерт, директор Microsoft по безопасности идентификационной информации , «ваш пароль не имеет значения, но MFA имеет значение! Согласно нашим исследованиям, вероятность взлома вашей учетной записи более чем на 99,9% ниже, если вы используете MFA. . ”

Вайнерт также добавил, что «использование чего-либо, кроме пароля, значительно увеличивает затраты для злоумышленников, поэтому уровень компрометации учетных записей, использующих любой тип MFA, составляет менее 0,1% от общей численности населения».

Исследователи Google также отметили, что «простое добавление номера телефона для восстановления в вашу учетную запись Google может заблокировать до 100% автоматических ботов, 99% массовых фишинговых атак и 66% целевых атак».

В то же время «ноль пользователей, которые используют исключительно ключи безопасности, стали жертвами целевого фишинга».

Усилия GitHub по защите учетных записей пользователей

На прошлой неделе GitHub напомнил пользователям, что пароли учетных записей больше не будут приниматься для аутентификации операций Git, начиная с 13 августа.

Впервые об изменении было объявлено в июле 2020 года, когда GitHub заявил, что для аутентифицированных операций Git потребуется использовать SSH-ключ или аутентификацию на основе токенов.

GitHub также отключил аутентификацию по паролю через REST API в ноябре 2020 года и добавил поддержку для защиты операций SSH Git с использованием ключей безопасности FIDO2 в мае 2021 года.

Безопасность учетной записи также была улучшена за эти годы за счет добавления двухфакторной аутентификации , предупреждений о входе , проверенных устройств , блокировки использования скомпрометированных паролей и поддержки WebAuthn .

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here