GitHub 今天宣布，到 2023 年底，所有在其平台上贡献代码的用户（估计总共有 8300 万开发人员）都必须在其帐户上启用双因素身份验证 (2FA)。

必须启用 2FA 的活跃贡献者包括但不限于提交代码、使用操作、打开或合并拉取请求或发布包的 GitHub 用户。

开发人员可以使用一个或多个 2FA 选项，包括物理安全密钥、内置于手机和笔记本电脑等设备中的虚拟安全密钥，或基于时间的一次性密码 (TOTP) 身份验证器应用程序。

尽管基于 SMS 的 2FA 也是一种选择（在某些国家/地区），但 GitHub 敦促切换到安全密钥或 TOTP，因为威胁参与者可以绕过或窃取 SMS 2FA 身份验证令牌。

“GitHub.com 组织和企业所有者也可以为其组织和企业的成员要求 2FA，”首席安全官 Mike Hanley说。

“请注意，启用这些设置后，不使用 2FA 的组织和企业成员和所有者将从组织或企业中删除。”

这是 GitHub 通过摆脱基本的基于密码的身份验证，进一步保护软件供应链免受攻击的最新举措。

代码托管平台此前宣布，它将要求基于电子邮件的设备验证和弃用帐户密码来验证 Git 操作。

GitHub 还在2020 年 11 月通过 REST API 禁用了密码验证，并在 2021 年 5 月增加了对使用 FIDO2 安全密钥保护 SSH Git 操作的支持。

多年来，GitHub 还通过添加双重身份验证、登录警报、阻止使用受损密码和WebAuthn 支持来提高帐户安全性。

为什么是 2FA？
通过阻止在劫持攻击中使用被盗凭据或重用密码的尝试，在 GitHub 帐户上启用双因素身份验证可提高对接管尝试的弹性。

正如微软身份安全总监 Alex Weinert几年前解释的那样，“您的密码无关紧要，但 MFA 很重要！根据我们的研究，如果您使用 MFA，您的帐户被盗用的可能性会降低 99.9% 以上。”

他还表示，“使用密码以外的任何东西都会显着增加攻击者的成本，这就是为什么使用任何类型的 MFA 的帐户被攻陷的比例不到普通人群的 0.1%。”

谷歌此前还透露，“只需在你的谷歌账户中添加一个辅助电话号码，就可以阻止多达 100% 的自动机器人、99% 的批量网络钓鱼攻击和 66% 的定向攻击”，“零用户只使用安全密钥”成为有针对性的网络钓鱼的受害者。”

Hanley 今天补充说，尽管 2FA 已经证明是一种保护帐户免受劫持的简单方法，但“只有大约 16.5% 的活跃 GitHub 用户和 6.44% 的 npm 用户使用一种或多种形式的 2FA。”

GitHub 提供了有关如何为您的 GitHub 帐户配置 2FA、在丢失 2FA 凭据时恢复帐户以及为个人帐户禁用 2FA 的详细信息。