GitHub在去年宣布于2023年时,所有开发者都需要激活双重验证,以提升账户安全,而现在官方发布最新措施,从3月13日开始,GitHub将会逐步向开发者和管理员,发出激活双重验证的要求,收到通知的用户将有45天配置时间,官方希望通过逐步扩大要求的方式,确保该政策能够顺利推进。
当用户收到激活双重验证要求,却没有在45天内成功配置,将会在之后第一次访问GitHub.com时被要求激活双重验证,用户仍可以暂缓这项要求一星期,过了最后通牒时间账户的功能将受限。未收到激活双重验证要求的用户,现在也可以主动激活。
激活双重验证的GitHub.com用户,会在28天之后收到确认第二因素验证的提示,官方提到,这是为了要避免用户因为错误配置身份验证应用程序,而导致账号遭锁定的预防措施。因此在该提示中,当用户无法通过第二因素验证,系统会提供一个快捷方法供用户重置双重验证,暂时还不会锁定该账户。
GitHub提供多种双重验证方法,虽然用户可以选择包括身份验证应用程序、SMS、安全密钥或GitHub移动应用程序,但官方建议用户最好使用安全密钥和身份验证应用程序,根据NIST 800-63B,SMS已经不是被推荐的第二验证因素。
GitHub也提醒用户,激活双重验证的用户应该解除账号与电子邮件的连接,因为GitHub账号都需要一个唯一的电子邮件地址,不过一旦账户被锁定,用户便难以使用常用的电子邮件重新创建新账户,因此官方现在提供解除账号与电子邮件连接的功能,使得用户能在激活双重验证的GitHub账户,取消与电子邮件地址的连接,如此当账户遭锁定,用户又无法找到SSH密钥、PAT或是之前用来登录GitHub设备来恢复账号,就可以重新创建账户开始开发工作,贡献图也能够正确显示。