今天，GitHub 推出了一个新的公开测试版，以显着改善所有 npm 用户帐户的双因素身份验证 (2FA) 体验。

GitHub 的开源产品经理 Myles Borins 表示，代码托管平台现在允许 npm 帐户注册“多个第二因素，例如安全密钥、生物识别设备和身份验证应用程序”。

它还引入了一个新的 2FA 配置菜单，允许用户管理注册的密钥和恢复代码。

从今天开始提供的其他功能包括查看和重新生成恢复代码的能力以及完整的命令行界面 (CLI) 支持。

注册此公开测试版的用户将能够使用物理安全密钥和生物识别设备通过 CLI 登录和发布。

这些变化是在 12 月向所有 npm 发布者推出 增强登录验证 以应对大量帐户接管之后发生的。

两个月后，GitHub 对 依赖的前 100 名软件包的所有发布者强制执行 2FA，所有前 500 名和高影响软件包的发布者都在 2022 年初注册。

跨平台推出 2FA
GitHub 上周还透露 ，所有活跃的代码贡献者（估计总共有 8300 万开发人员）将被要求在他们的帐户上启用双因素身份验证 (2FA)，直到明年年底。

开发人员可以使用多个 2FA 选项来保护他们的帐户，包括物理安全密钥、内置于手机或笔记本电脑等设备中的虚拟安全密钥以及基于时间的一次性密码 (TOTP) 身份验证器应用程序。

尽管基于 SMS 的 2FA 也是一种选择（仅 在某些国家/地区），但 GitHub 敦促用户切换到安全密钥或 TOTP，因为威胁者可以绕过 SMS 2FA 或窃取通过 SMS 发送的身份验证令牌。

多年来，GitHub 还通过添加 登录警报、 双重身份验证和 WebAuthn 支持来提高帐户安全性。今天的公开测试版推动提高 npm 帐户安全性是 GitHub 通过摆脱基本的基于密码的身份验证来保护软件供应链免受攻击的最新举措。