Bugün Github, tüm NPM kullanıcı hesapları için iki faktörlü kimlik doğrulama (2FA) deneyimini önemli ölçüde artırmak için yeni bir genel beta başlattı.
Github'daki açık kaynak ürün yöneticisi olan Myles Borins, kod barındırma platformunun artık NPM hesaplarının "güvenlik anahtarları, biyometrik cihazlar ve kimlik doğrulama uygulamaları gibi birden fazla ikinci faktör" kaydetmesine izin verdiğini söyledi.
Ayrıca, kullanıcıların kayıtlı anahtarları ve kurtarma kodlarını yönetmesine olanak tanıyan yeni bir 2FA yapılandırma menüsü de getirdi.
Bugün başlayan ek özellikler, kurtarma kodlarını ve tam komut satırı arayüzü (CLI) desteğini görüntüleme ve yenileme yeteneği içerir.
Bu kamuya açık betaya kayıtlı olanlar, fiziksel güvenlik anahtarlarını ve biyometrik cihazları kullanarak CLI aracılığıyla oturum açabilir ve yayınlayabilirler.
Bu değişiklikler, büyük bir dizi hesap devralmasına yanıt olarak tüm NPM yayıncılarına gelişmiş giriş doğrulamasının Aralık ayında sunulmasından sonra geliyor.
İki ay sonra Github, Top-100 Paketlerin tüm yayıncıları için 2FA'yı bağımlı olarak zorladı ve 2022'nin başlarında kayıtlı tüm 500 ve yüksek etkili paketlerin yayıncılarıyla birlikte.
Github ayrıca geçen hafta tüm aktif kod katkıda bulunanların (toplam 83 milyon geliştirici) gelecek yıl sonuna kadar hesaplarında iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmesi gerektiğini açıkladı.
Geliştiriciler, fiziksel güvenlik anahtarları, telefonlar veya dizüstü bilgisayarlar gibi cihazlarda yerleşik sanal güvenlik anahtarları ve zaman tabanlı bir kerelik şifre (TOTP) kimlik doğrulayıcı uygulamaları dahil olmak üzere hesaplarını güvence altına almak için birden fazla 2FA seçeneği kullanabilir.
SMS tabanlı 2FA aynı zamanda bir seçenek olmasına rağmen (sadece bazı ülkelerde), Github, tehdit aktörlerinin SMS 2FA'yı atlayabileceği veya SMS üzerinden gönderilen Auth belirteçlerini çalabileceği göz önüne alındığında, kullanıcıları güvenlik anahtarlarına veya TOTP'lere geçmeye çağırdı.
GitHub ayrıca oturum açma uyarıları, iki faktörlü kimlik doğrulama ve WebAuthn desteği ekleyerek yıllar içinde hesap güvenliğini geliştirdi.
Günümüzün genel beta artan NPM hesap güvenliği, GitHub'ın yazılım tedarik zincirini temel şifre tabanlı Auth'dan uzaklaşarak saldırılardan korumak için son adımıdır.
NPM Paketi Haftalık 1.4 milyon indirme ile kendi CDN için NPMJS.COM
GitHub, 2023 sonuna kadar aktif geliştiricilerden 2FA gerektirecek
Github, kullanıcıları şifreden çıktıktan sonra 2FA'yı etkinleştirmeye çağırıyor
Microsoft'un Azure SDK sitesi sahte paketi listelemek için kandırıldı
Heroku, Cyberattack'ta müşteri kimlik bilgilerinin çalındığını itiraf ediyor
Kaynak: Bleeping Computer