Сведения о обязательной двухфакторной проверке подлинности

Включите обязательную двухфакторную аутентификацию для защиты аккаунта и сохранения доступа к GitHub.com.

В этой статье

По состоянию на март 2023 г. GitHub требовал от всех пользователей, которые вносят код на GitHub.com для включения одной или нескольких форм двухфакторной проверки подлинности (2FA). Если бы вы были в соответствующей группе, вы получили бы уведомление по электронной почте, когда эта группа была выбрана для регистрации, помечая начало 45-дневного периода регистрации 2FA, и вы видели бы баннеры, запрашивающие регистрацию в 2FA на GitHub.com. Если вы не получили уведомления, то вы не были частью группы, необходимой для включения 2FA, хотя настоятельно рекомендуется.

О возможности обязательного 2FA

Ваш аккаунт выбран для обязательного 2FA, если вы предприняли какие-либо действия GitHub , которые доказывают, что вы являетесь участником. К допустимым действиям относятся следующие действия:

  • Публикация приложения или действия для других пользователей

  • Создание выпуска для репозитория

  • Участие в конкретных репозиториях с высоким уровнем важности, таких как проекты, отслеживаемые Фондом безопасности с открытым исходным кодом

  • Быть администратором или участником репозитория с высокой важностью

  • Владелец организации для организации, содержащей репозитории или другие пользователи

  • Быть администратором или участником репозиториев, публикующих один или несколько пакетов

  • Быть администратором предприятия

            GitHub постоянно оценивает улучшения функций безопасности наших аккаунтов и требований 2FA, поэтому эти критерии могут меняться со временем.

О обязательном 2FA для организаций и предприятий

Обязательная 2FA необходима сама GitHub по себе для повышения безопасности как для отдельных разработчиков, так и для более широкой экосистемы разработки программного обеспечения. Администратор может также требовать включение 2FA в качестве требования для присоединения к своей организации или предприятия, но эти требования отличаются от этой программы. Сведения о том, какие пользователи включили 2FA или необходимы для этого, см. в разделе [AUTOTITLE или Просмотр пользователей в организации](/organizations/keeping-your-organization-secure/managing-two-factor-authentication-for-your-organization/viewing-whether-users-in-your-organization-have-2fa-enabled).

Право вашей учетной записи на обязательное 2FA не влияет на право других лиц. Например, если вы являетесь владелец организации, и ваша учетная запись имеет право на обязательное 2FA, это не влияет на право доступа к другим учетным записям в вашей организации.

Примечание.

          GitHub

          Enterprise Managed Users а GitHub Enterprise Server локальные пользователи **не** обязаны включать 2FA. Обязательное включение 2FA применяется только к пользователям с паролем на GitHub.com.

О сбое включения обязательной 2FA

Если вы не включите 2FA в течение 45-дневного периода настройки и позволите истечь 7-дневного льготного периода, вы не сможете получить GitHub.com доступ, пока не включите 2FA. Если вы попытаетесь получить доступ GitHub.com, вам будет предложено включить 2FA.

Если не удается включить обязательный 2FA, маркеры, принадлежащие вашей учетной записи, будут продолжать функционировать, так как они используются в критической автоматизации. Эти токены включают personal access tokens и OAuth токены, выдающиеся приложениям для действий от вашего имени. Включение 2FA не отменяет или не изменяет поведение маркеров, выданных для вашей учетной записи. Тем не менее заблокированные учетные записи не смогут авторизовать новые приложения или создать новые PATS, пока они не включили 2FA.

О обязательных методах 2FA

Мы рекомендуем настроить однократное приложение на основе времени (TOTP) в качестве основного метода 2FA и добавить пароль или ключ безопасности в качестве резервной копии. Если у вас нет ключа доступа или ключа безопасности, приложение GitHub Mobile — хороший вариант для резервного копирования. SMS является надежным в большинстве стран, но имеет риски безопасности, с которыми могут работать некоторые модели угроз.

В настоящее время мы не поддерживаем ключи доступа или ключи безопасности в качестве основных методов 2FA, так как они легко потерять и не поддерживают синхронизацию на достаточно широком диапазоне устройств. Так как ключи доступа более широко распространены и поддержка синхронизации более распространена, мы будем поддерживать их в качестве основного метода.

  •         [Сведения о приложениях TOTP и обязательных 2FA](#about-totp-apps-and-mandatory-2fa)

  •         [О едином входе SAML и обязательном 2FA](#about-saml-sso-and-mandatory-2fa)

  •         [Сведения о проверке электронной почты и обязательном 2FA](#about-email-verification-and-mandatory-2fa)

Примечание.

Рекомендуем сохранять файлы cookie на GitHub.com. Если вы устанавливаете браузер для очистки файлов cookie каждый день, вы никогда не будете иметь проверенное устройство для целей восстановления учетной записи, так как _device_id файл cookie используется для безопасного подтверждения использования этого устройства ранее. Дополнительные сведения см. в разделе Восстановление учетной записи при утере учетных данных для двухфакторной проверки подлинности.

Сведения о приложениях TOTP и обязательных 2FA

TOTP-приложения — рекомендуемый фактор 2FA для GitHub. Дополнительные сведения о настройке приложений TOTP см. в разделе Настройка двухфакторной проверки подлинности.

Если вы не хотите скачать приложение на мобильном устройстве, существует несколько вариантов для автономных приложений TOTP, работающих на разных платформах. Для классических приложений рекомендуется KeePassXC и для подключаемых модулей на основе браузера, рекомендуется использовать 1Password.

Вы также можете вручную настроить любое приложение, которое создает код, совместимый с RFC 6238. Дополнительные сведения о настройке приложения TOTP вручную см. в разделе Настройка двухфакторной проверки подлинности. Дополнительные сведения о RFC 6238 см. в статье TOTP: Алгоритм одноразовых паролей на основе времени в документации по IETF.

Примечание.

Если вы используете FreeOTP для 2FA, вы можете увидеть предупреждение о слабых криптографических параметрах. GitHub использует 80-битный секрет для обеспечения совместимости со старыми версиями Google Authenticator. 80 битов ниже 128 бит, рекомендуемых HOTP RFC, но в настоящее время у нас нет планов изменить это сообщение и рекомендовать игнорировать это сообщение. Дополнительные сведения см. в разделе HOTP: Алгоритм однократного пароля на основе HMAC в документации по IETF.

О едином входе SAML и обязательном 2FA

Если вас выбрали для обязательного 2FA, вы должны зарегистрироваться в 2FA GitHub.com , даже если ваша компания уже требует единого входа (SSO) с 2FA. Хотя SSO с 2FA является мощным способом защиты ресурсов, принадлежащих организациям или предприятиям, он не защищает пользовательский контент, не GitHub.com связанный с организацией или предприятием, а также не защищает профиль и настройки пользователя.

          GitHub Требуется выполнять 2FA только при начальной аутентификации и для чувствительных действий, так что даже если вам придётся ежедневно выполнять корпоративную 2FA для доступа GitHub, редко придётся делать 2FA во второй раз через GitHub. Дополнительные сведения о конфиденциальных действиях см. в разделе [AUTOTITLE](/authentication/keeping-your-account-and-data-secure/sudo-mode).

Сведения о проверке электронной почты и обязательном 2FA

Когда вы входите в GitHub.com, верификация электронной почты не считается двухFA. Адрес электронной почты вашей учетной записи используется для сброса пароля, который является формой восстановления учетной записи. Если злоумышленник имеет доступ к папке "Входящие" электронной почты, он может сбросить пароль для учетной записи и пройти проверку проверки подлинности устройства электронной почты, снизив защиту учетной записи до одного фактора. Для предотвращения этого сценария требуется второй фактор, поэтому второй фактор должен отличаться от почтового ящика. Если включить 2FA, мы больше не будем выполнять проверку электронной почты при входе.

Сведения о учетных записях служб и обязательных 2FA

Автоматические или общие учетные записи доступа в организации, такие как боты и учетные записи служб, выбранные для обязательной двухфакторной проверки подлинности, должны быть зарегистрированы в 2FA. Включение 2FA не отменяет или не изменяет поведение маркеров, выданных для учетной записи службы. GitHub рекомендуется безопасно хранить TOTP-секрет сервисной учетной записи в общем хранилище учетных данных. Дополнительные сведения см. в разделе Управление ботами и учетными записями служб с помощью двухфакторной проверки подлинности.

Сведения о конфиденциальности с обязательной 2FA

Если вас выбрали для обязательного 2FA, это не значит, что вы обязаны указывать GitHub свой номер телефона. Вам нужно указать только номер телефона, если вы используете SMS для 2FA. Вместо этого рекомендуется настроить приложение TOTP в качестве основного метода 2FA. Дополнительные сведения см. в разделе Настройка двухфакторной проверки подлинности.

Примечание.

Регион может быть не указан в доступных параметрах SMS. Мы отслеживаем показатели успешной доставки SMS на основе каждого региона и запрещаем настройку для регионов с низкой скоростью доставки. Если регион не отображается в списке, необходимо настроить приложение TOTP. Дополнительные сведения о поддерживаемых регионах для SMS см. в разделе Страны, в которых поддерживаются проверка подлинности с помощью SMS.