До конца 2023 года GitHub возможность отправки изменений без применения двухфакторной аутентификации будет запрещена для всех пользователей. По мере приближения момента перевода на двухфакторную аутентификацию пользователям будут направляться email-уведомления и выводиться предупреждения в интерфейсе. После отправки первого предупреждения разработчику даётся 45 дней на настройку двухфакторной аутентификации.
Для двухфакторной проверки подлинности можно использовать мобильное приложение, подтверждение через SMS или прикрепление ключа доступа. В качестве приоритетного варианта для двухфакторной проверки подлинности рекомендуется использовать приложения, создающие одноразовые пароли с ограниченным сроком действия (TOTP), такие как Authy, Google Authenticator и FreeOTP.
Применение двухфакторной аутентификаци позволит усилить защиту процесса разработки и обезопасить репозитории от внесения вредоносных изменений в результате утечки учётных данных, использования того же пароля на скомпрометированном сайте, взломов локальной системы разработчика или применения методов социального инжиниринга. По мнению GitHub получение злоумышленниками доступа к репозиториям в результате захвата учётных записей является одной из наиболее опасных угроз, так как в случае успешной атаки может быть осуществлена подстановка скрытых изменений в популярные продукты и библиотеки, используемые в качестве зависимостей.
Источник: http://www.opennet.ru/opennews/art.shtml?num=58783