近日,为了改善所有 npm 用户账户的双因素身份验证(2FA)体验,Github 推出一个新的公开测试版本。
GitHub 的开源产品经理 Myles Borins 表示,Github 现在允许 npm 账户注册多个第二因素,例如安全密钥、生物识别设备和身份验证程序。此外,还引入了 2FA 配置菜单,允许用户管理注册的密钥和代码恢复。
Github 上周透漏,到明年年底,Github 上的所有活跃的代码贡献者(约 8300 万)必须全部启用双因素身份验证(2FA)机制。
开发者可以使用多种 2FA 选项来保护其账户,例如物理安全密钥、内置于手机或笔记本电脑等设备中的虚拟安全密钥以及基于时间的一次性密码 (TOTP) 身份验证器应用程序等。
在某些国家或者地区,也可以使用基于 SMS 的 2FA ,但攻击者可以绕过 SMS 2FA 验证或窃取 SMS 发送的身份验证令牌。因此 Github 方极度不推荐此种用法,并积极敦促用户修改为安全密钥或者 TOTP。
多年来,Github 通过多种方式来提高账户的安全性,例如登录警报、 双重身份验证和 WebAuthn 支持。
