势不可挡摄影记者 邵文
“应用软件物流配送始自开发者。社会工程和帐户反击活动经常把开发者帐户作为目标,因此为保护开发者免遭这类反击是保证应用软件物流配送安全可靠性的第二步,也是最关键的一步。”当地时间5月4日,GitHub首席安全可靠官Mike Hanley在网志中公布GitHub新政策:在2023月底之前,大部份在GitHub.com上贡献标识符的采用者都需要投入采用至少一种形式的双不利因素加密(2FA)。
虽然双不利因素加密为新浪网账户提供更多了关键的附加为保护,但GitHub的内部研究表明,目前只有大约16.5%的活跃采用者和6.44%的npm采用者对其帐户投入采用了增强的安全可靠措施。
GitHub是亚洲地区数亿应用软件开发者采用的标识符代销网络平台。Hanley写到,“GitHub处于独有的位置,单凭GitHub.com上的大多数开放源码和制作者街道社区,我们就可以通过提高安全可靠标准来对整座生态系的安全可靠产生关键性的积极负面影响。”
为保护开放源码应用软件的安全可靠依然是应用软件金融行业急迫关注的难题,尤其是在去年令企业和政府争相应付的亚洲地区计算机系统关键性安全可靠严重威胁log4j安全漏洞之后。但是,虽然GitHub新政策将减轻一些严重威胁,但整体性考验依然存在:许多开放源码应用软件项目仍由拨用义工保护,缩小资金资金缺口一直被视作整座科技金融行业的主要难题。
双不利因素加密是什么?为什么GitHub认为帐户安全可靠和双不利因素加密很关键?
双不利因素加密设计图
2FA(2 Factor Authentication,双因素加密),是指在绝密信息(公钥等)、对个人贵重物品(身分证等)、病理特征(人脸识别/黄斑/人脸识别等)这四种不利因素中,同时用两种不利因素进行证书。
Hanley写到,“大多数安全可靠安全漏洞并非罕见的端口扫描反击(Zero-day其他很多为反击者提供更多对被害者帐户及其大部份资源的广泛出访职权有效途径。被侵略的帐户可用于盗取专有标识符,或将蓄意更动发送到这些标识符上。这不仅会将与受病毒感染帐户相关的对个人和组织放于脆弱之中,而且会让大部份采用受负面影响标识符的采用者都暴露在风险环境下。因此,这种反击可能会对更广泛的应用软件生态系和物流配送下游产生巨大的负面影响。”
这就是为什么双不利因素加密可以成为为保护关键业务系统的有效机制,因为这意味着如果不良行为者获得了私人登录凭据,但利用它们要困难得多。
如果想要更直观理解,那么可以思考,只用帐户和公钥进行加密会有什么隐患?
在互联网中,每天都有大量网站遭到骇客反击以致有数据外泄,而这些数据中就包括采用者的账号公钥。拿到账号公钥后,骇客可以用它们尝试登录其他网站,即“公钥撞库”。
那么为了防止公钥撞库,网站就会采取更多手段验证身份信息,像GitHub推出的双不利因素加密、登录警报、设备证书、防用泄露公钥等。
GitHub透露,2021年11月,一些未投入采用2FA的开发者帐户遭到侵略,导致很多npm包(Node Package Manager,简称npm包管理工具)被侵略者接管,为此GitHub承诺在npm帐户安全可靠性方面投入更多资源。
GitHub认为,应付这种反击手段的最佳防御措施就是对原有基于公钥的基本加密手段进行升级换代。“GitHub已经朝这个方向迈出了一步,弃用了针对git操作和我们API的基本加密,并要求在采用者名和公钥之外添加基于电子邮件的设备验证。2FA是下一道防线。”Hanley写到。
在接下来的几个月里,GitHub将分享更多关于强制GitHub.com采用者升级换代到2FA的详细信息和时间表。
责任编辑:李跃群
校对:刘威
