文/李建興 | 2023-03-10發表
GitHub在去年宣布於2023年時,所有開發者都需要啟用雙因素驗證,以提升帳戶安全,而現在官方發布最新措施,從3月13日開始,GitHub將會逐步向開發者和管理員,發出啟用雙因素驗證的要求,收到通知的用戶將有45天配置時間,官方希望透過逐步擴大要求的方式,確保該政策能夠順利推展。
當用戶收到啟用雙因素驗證要求,卻沒有在45天內成功配置,將會在之後第一次存取GitHub.com時被要求啟用雙因素驗證,用戶仍可以暫緩這項要求一星期,過了最後通牒時間帳戶的功能將受限。未收到啟用雙因素驗證要求的用戶,現在也可以主動啟用。
啟用雙因素驗證的GitHub.com用戶,會在28天之後收到確認第二因素驗證的提示,官方提到,這是為了要避免用戶因為錯誤配置身分驗證應用程式,而導致帳號遭鎖定的預防措施。因此在該提示中,當用戶無法通過第二因素驗證,系統會提供一個快捷方法供用戶重置雙因素驗證,暫時還不會鎖定該帳戶。
GitHub提供多種雙因素驗證方法,雖然用戶可以選擇包括身分驗證應用程式、SMS、安全金鑰或GitHub行動應用程式,但官方建議用戶最好使用安全金鑰和身分驗證應用程式,根據NIST 800-63B,SMS已經不是被推薦的第二驗證因素。
GitHub也提醒用戶,啟用雙因素驗證的用戶應該解除帳號與電子郵件的連結,因為GitHub帳號都需要一個唯一的電子郵件地址,不過一旦帳戶被鎖定,用戶便難以使用常用的電子郵件重新創建新帳戶,因此官方現在提供解除帳號與電子郵件連結的功能,使得用戶能在啟用雙因素驗證的GitHub帳戶,取消與電子郵件地址的連結,如此當帳戶遭鎖定,用戶又無法找到SSH金鑰、PAT或是之前用來登入GitHub裝置來恢復帳號,就可以重新創建帳戶開始開發工作,貢獻圖也能夠正確顯示。
線