GitHub也要手機(jī)驗(yàn)證了？

夢晨 發(fā)自 凹非寺
量子位 | 公眾號 QbitAI

GitHub現(xiàn)在很焦慮，因?yàn)獒槍﹂_源軟件的黑客攻擊越來越多了。

他們統(tǒng)計了一圈所有賬號的安全設(shè)置后，發(fā)現(xiàn)了一個情況：只有16.5%的用戶啟用了雙重身份認(rèn)證功能。

現(xiàn)在GitHub正式宣布：

要求所有代碼貢獻(xiàn)者在2023年底之前啟用雙重身份認(rèn)證。

換句話說，要是不啟用這個功能，以后就不能往GitHub倉庫里提交代碼了。

所謂雙重身份認(rèn)證（Two-Factor Authentication），就是在賬號密碼以外還額外需要一種方式來確認(rèn)用戶身份。

國內(nèi)這種做法已經(jīng)很常見，比如手機(jī)App掃碼，或者接收短信驗(yàn)證碼。

具體到GitHub的做法由于沒有自己的手機(jī)客戶端，而是支持使用第三方驗(yàn)證工具如1Password或微軟的Microsoft Authenticator。

至于短信驗(yàn)證碼也不是所有手機(jī)號都能收，比如我們的區(qū)號+86就不支持……

對于GitHub的做法，用戶的反應(yīng)也是褒貶不一。

有人認(rèn)為GitHub統(tǒng)計出來的數(shù)據(jù)應(yīng)該解釋成，高達(dá)83.5%的用戶不愿意使用雙重身份認(rèn)證。

這樣做是搬起石頭砸自己腳，一旦他們要求這樣做，我就會換別的平臺。

也有一部分人是出于隱私方面考慮，不愿意讓GitHub知道自己的手機(jī)號。

但還是有很多開發(fā)者對此表示贊同，因?yàn)檐浖?yīng)鏈攻擊可是讓他們吃了不少苦頭。

雙重身份認(rèn)證能防什么攻擊？

根據(jù)安全公司Aqua Security的數(shù)據(jù)，2021年針對軟件供應(yīng)鏈的攻擊增加了300%以上。

直接向常用的依賴代碼庫注入惡意代碼、上傳容易混淆的代碼庫等手段層出不窮

作為最大的開源軟件平臺，GitHub深受其困。

比較著名的有GitHub服務(wù)器被黑客用來挖礦。

在這個例子中，黑客通過發(fā)起惡意Pull Request，利用GitHub Action的漏洞來白嫖服務(wù)器資源。

雖然被發(fā)現(xiàn)后GitHub可以封禁違規(guī)賬號，但黑客們玩起了“游擊戰(zhàn)術(shù)”，不斷更換馬甲號逃避“追捕”。

挖礦黑客僅用3天就能在GitHub上提交代碼超過2.33萬次，持續(xù)作案很長時間也未能根除。

提交代碼時強(qiáng)制雙重身份認(rèn)證的措施，正可以增加黑客的作惡成本。

除了GitHub平臺本身，旗下的知名包管理工具npm也常被黑客盯上。

而且據(jù)統(tǒng)計npm開發(fā)者的安全意識還要更低，只有6.44%啟用了雙重身份認(rèn)證。

今年3月底，一個代號為“RED-LILI”的黑客組織發(fā)起了針對NPM的大規(guī)模攻擊，投放了超過800個惡意代碼包。

北卡羅來納州立大學(xué)的一項(xiàng)研究表示，很多npm開發(fā)者的郵箱域名都過期了但還用來登錄。

沒有雙重身份認(rèn)證的話，黑客只要把域名買下來就可以劫持賬戶，在開源項(xiàng)目中注入惡意代碼。

對此，GitHub已經(jīng)要求npm下載量前一百的開發(fā)者開啟雙重身份認(rèn)證，取得了不錯的效果，并打算把這一經(jīng)驗(yàn)用在GitHub上。

盡管雙重身份認(rèn)證確實(shí)能增加安全性，還是有不少開發(fā)者反對，因?yàn)橛脩趔w驗(yàn)實(shí)在不咋地。

把登錄方式與手機(jī)綁定在一起的話，萬一手機(jī)壞了、丟了或者換手機(jī)時忘記解綁就容易影響開發(fā)工作。

而GitHub把最后期限定到2023年底，也是打算用這段時間再好好打磨一下。

你的GitHub賬號開啟雙重身份認(rèn)證了么？哪個認(rèn)證工具好用歡迎分享一下～

參考鏈接：
[1]https://github.blog/2022-05-04-software-security-starts-with-the-developer-securing-developer-accounts-with-2fa/
[2]https://github.blog/2022-04-15-security-alert-stolen-oauth-user-tokens/
[3]https://github.blog/2022-02-01-top-100-npm-package-maintainers-require-2fa-additional-security/
[4]https://it.slashdot.org/story/22/05/04/2028211/github-will-require-all-code-contributors-to-use-2fa?utm_source=rss1.0mainlinkanon&utm_medium=feed