GitHub开启双重验证

为什么要打开2FA验证？

事实上，我们经常遇到的许多安全漏洞并不是来自非常复杂的攻击或零日漏洞，而是经常涉及低成本的攻击，如社会工程、密码泄露等。

据GitHub博客报道，2021年11月，许多npm包被接管，因为未使用2FA的开发者账户被入侵。

此外，许多早期安全研究人员透露，它可以直接访问14%的npm包(或间接访问54%的包)。

还有媒体报道，99.9%的Microsoft账户曾被黑客入侵，2FA没有启用。

MikeHanley表示，防止低成本攻击的最佳方法是采取一些基于密码的基本认证方法。目前，GitHub不仅需要用户名和密码登录，还需要基于电子邮件的设备验证。现在，2FA将是下一道防线。

尽管许多场景已经验证了2FA的有效性，但2FA在整个软件生态系统中的利用率仍然很低。根据Github的内部研究，目前16.5%的开发人员对其账户采取了增强安全措施，仅占六分之一。此外，只有6.44%的npm用户使用2FA。

GitHub想在整个平台上推广2FA！

据protocol报道，Mikehanley透露，双重身份验证的要求将影响Github平台的8300万用户，并提前宣布可以保证开发人员的用户体验。

事实上，今年2月，GitHub在其平台上强制使用2FA的小规模测试体验。当时，GitHub选择的测试组主要是100名流行的JavaScript库的贡献者，他们通过包管理工具NPM分发。因为广泛使用的npm包每周可以下载数百万次，所以它们对恶意软件团伙来说是一个非常有吸引力的目标。在某些情况下，黑客破坏了npm贡献者的账户，并使用它们发布软件更新、安装密码窃取器和加密货币挖掘软件。

同时，GitHub计划在今年5月底将测试范围从100个扩大到500个软件包的贡献者。