Хотя эксперты по безопасности уже много лет трубят о том, что пароли подходят к концу, этого не происходит. И каким бы несовершенным ни был этот способ защиты личной информации, он работает. Но есть лучший способ защитить свои данные, будь то банковский счет, учетная запись Facebook или регистрация в любимом онлайн-кинотеатре. Это многофакторная или двухфакторная аутентификация (2FA). Конечно, это не панацея, как уже было неоднократно доказано, но гораздо более надежный и безопасный способ защитить ваши данные. Однако многие об этом не знают, другие знают, но не хотят использовать. Вот почему некоторые компании вынуждены подталкивать своих клиентов в сторону перехода к 2FA. И таким образом, они позиционируют себя как надежные ресурсы.
Одной из таких компаний является GitHub, которая объявила на этой неделе, что к концу следующего года все разработчики, активно использующие репозитории ресурсов для своего кода, должны будут включить какой-либо тип двухфакторной аутентификации. Когда дело доходит до GitHub, это не просто хороший сервис для отдельного пользователя. Более 80 миллионов разработчиков активно используют репозиторий для включения своего кода в проекты разного масштаба, иногда обслуживающего миллионы пользователей, потому переход на двухфакторную аутентификацию кажется даже слишком запоздалым. В последние годы распространение получили так называемые «Атаки на цепочку поставок». Эти угрозы чрезвычайно трудно обнаружить, а их последствия могут быть необратимыми. Одна из самых известных таких атак связана, например, с известным вирусом NotPetya. Пять лет назад хакерской группе удалось скомпрометировать внутреннюю сеть поставщика популярного бухгалтерского программного обеспечения, раздав пользователям программы вредоносное ПО, которое было представлено как новая версия бухгалтерской программы через официальный канал обновлений. Другой известный инцидент был связан с CCleaner, распространенной программой для очистки Windows от «мусора».
Ранее в этом году GitHub ввел обязательную двухфакторную защиту. Однако речь шла только об управлении 100 лучшими npm-пакетами. Dark Reading говорит, что, несмотря на предыдущий совет GitHub пользователям включить 2FA, только 16,5% активных пользователей сайта и 6,44% пользователей npm активировали какую-либо форму 2FA для своих учетных записей.
Переход к самой активации защиты будет осуществляться поэтапно. Все разработчики, поддерживающие один из 500 самых популярных пакетов npm, будут переведены на защиту 2FA 31 мая (если они еще этого не сделали). Те, кто сопровождает те проекты, что GitHub определяет как пакеты с высоким риском — проекты с более чем 500 зависимостями или одним миллионом загрузок в неделю — должны будут включить двухфакторную защиту к третьему кварталу этого года.