梦晨 丽翔 凹非寺
物理位 | 社会公众号 QbitAIGitHub那时很恐惧,即使特别针对开放源码应用软件的网络攻击愈来愈多了。
她们统计数据了几圈大部份帐号的安全可靠增设后,辨认出了两个情形:多于16.5%的采用者投入采用了多重身分认证机能。
那时GitHub正式宣布正式宣布宣布:
明确要求大部份标识符COBOL在2023月底之后投入采用多重身分认证。
换言之,就算不投入采用那个机能,之后就无法往GitHub库房里递交标识符了。
简而言之多重身分认证(Two-Factor Authentication),是在帐号密码之外还附加须要一类形式来证实采用者身分。
亚洲地区此种作法早已很常用,比如说智能手机App二维码,或是转交智能手机短信转交者。
具体内容到GitHub还全力支持采用服务器端校正辅助工具如1Password或谷歌的Microsoft Authenticator。
再者智能手机短信转交者也并非大部份电话号码都能收,比如说他们的区号+86就不全力支持……
对于GitHub的作法,采用者的反应也是褒贬不一。
有人认为GitHub统计数据出来的数据应该解释成,高达83.5%的采用者不愿意采用多重身分认证。
这样做是搬起石头砸自己脚,一旦她们明确要求这样做,我就会换别的平台。
也有一部分人是出于隐私方面考虑,不愿意让GitHub知道自己的电话号码。
但还是有很多开发者对此表示赞同,即使应用软件供应链攻击可是让她们吃了不少苦头。
多重身分认证能防什么攻击?
根据安全可靠公司Aqua Security的数据,2021年特别针对应用软件供应链的攻击增加了300%以上。
直接向常用的依赖标识符库注入恶意标识符、上传容易混淆的标识符库等手段层出不穷
作为最大的开放源码应用软件平台,GitHub深受其困。
比较著名的有GitHub服务器被黑客用来挖矿。
在那个例子中,黑客通过发起恶意Pull Request,利用GitHub Action的漏洞来白嫖服务器资源。
虽然被辨认出后GitHub可以封禁违规帐号,但黑客们玩起了“游击战术”,不断更换马甲号逃避“追捕”。
挖矿黑客仅用3天就能在GitHub上递交标识符超过2.33万次,持续作案很长时间也未能根除。
递交标识符时强制多重身分认证的措施,正可以增加黑客的作恶成本。
除了GitHub平台本身,旗下的知名包管理辅助工具npm也常被黑客盯上。
而且据统计npm开发者的安全可靠意识还要更低,多于6.44%投入采用了多重身分认证。
今年3月底,两个代号为“RED-LILI”的黑客组织发起了特别针对NPM的大规模攻击,投放了超过800个恶意标识符包。
北卡罗来纳州立大学的一项研究表示,很多npm开发者的邮箱域名都过期了但还用来登录。
没有多重身分认证的话,黑客只要把域名买下来就可以劫持账户,在开放源码项目中注入恶意标识符。
对此,GitHub早已明确要求npm下载量前一百的开发者开启多重身分认证,取得了不错的效果,并打算把这一经验用在GitHub上。
尽管多重身分认证确实能增加安全可靠性,还是有不少开发者反对,即使采用者体验实在不咋地。
把登录形式与智能手机绑定在一起的话,万一智能手机坏了、丢了或是换智能手机时忘记解绑就容易影响开发工作。
而GitHub把最后期限定到2023月底,也是打算用这段时间再好好打磨一下。
你的GitHub帐号开启多重身分认证了么?哪个认证辅助工具好用欢迎分享一下~
参考链接:
[1]https://github.blog/2022-05-04-software-security-starts-with-the-developer-securing-developer-accounts-with-2fa/[2]https://github.blog/2022-04-15-security-alert-stolen-oauth-user-tokens/[3]https://github.blog/2022-02-01-top-100-npm-package-maintainers-require-2fa-additional-security/[4]https://it.slashdot.org/story/22/05/04/2028211/github-will-require-all-code-contributors-to-use-2fa?utm_source=rss1.0mainlinkanon&utm_medium=feed— 完 —
物理位 QbitAI · 头条号签约
关注他们,第一时间获知前沿科技动态
