通过2FA保护数百万开发商

尽管技术在打击复杂安全威胁扩散方面取得了显著进步，但现实是防止下一次网络攻击取决于正确掌握安全基础，保护软件生态系统的努力必须保护设计、构建和维护我们所依赖的软件的开发人员.

作为世界上最大的开发人员社区的所在地，GitHub在帮助提高软件供应链的安全性方面处于独特的地位。2022年5月，我们介绍通过解决供应链中的第一个环节，即开发人员的安全，提高供应链安全的门槛。由于强大的多因素身份验证仍然是防止账户接管和随后的供应链泄露的最佳防御措施之一，我们设定了一个雄心勃勃的目标，即要求在GitHub.com上贡献代码的用户在2023年底之前启用一种或多种形式的双因素身份验证（2FA）。

接下来的是围绕实施为了优化开发人员的无缝体验渐变卷展栏在我们不断扩展需求的同时，确保用户成功登录。虽然我们为确保开发人员在GitHub.com上尽可能安全所做的努力并没有到此为止，但今天，我们正在分享我们的2FA注册第一阶段的结果，呼吁更多组织在自己的平台上实现类似的要求。让我们潜入水中。

结果🚀

我们为2023年倡议取得的初步成就感到自豪，并为其对确保软件生态系统更加安全所产生的影响感到自豪。我们看到：

• GitHub.com上采用2FA的用户数量大幅增加，主要关注对软件供应链影响最大的用户。
• 用户采用更安全的2FA方式，包括密钥。
• 2FA相关支持票务量的净减少，这归功于大量的前期用户研究和设计以及客户支持流程的改进。
• 其他组织如RubyGems公司,PyPI公司，以及美国焊接学会与我们一起提高了整个软件供应链的门槛，证明了2FA采用率的大幅提高并不是一个无法克服的挑战。

2FA采用

自2023年3月我们开始推出强制性2FA以来，我们已经看到opt-in率接近95%在2023年收到2FA要求的代码贡献者中，注册人数不断增加。此外，这导致了2FA采用率增加54%在所有活跃贡献者中¹在GitHub.com上。

更强大、更可靠的身份验证

该倡议的一个重点领域是鼓励用户采用更安全的2FA手段，尤其是密钥它目前提供了最强的安全性和可用性组合。因为我们在年发布了公开测试版的密钥2023年7月,GitHub.com上注册了近140万个密钥更令人印象深刻的是，在日常使用中，密钥迅速超过了其他形式的Webauthn支持的2FA。

虽然我们看好密钥，但同样重要的是GitHub继续提供灵活性、可靠性和安全性，让世界各地的开发人员能够通过平台的身份验证，尤其是那些可能无法使用此类技术的人。对于那些可能无法采用其他因素，但在我们的2FA入职工作流程中有意做出设计选择，以鼓励用户在可能的情况下采用更安全的替代方案的人，我们将继续支持SMS作为2FA选项。这项工作作为第二个因素，短信的总体份额减少了近25%2023年初至2024年初。我们看到，在继续推动密钥采用的同时，也降低了不安全因素类型的使用，并预见到了未来，密钥将是GitHub平台上大多数开发人员的首选。

最后，由于我们改进了注册体验并推出了密钥，我们的数据表明47%的用户更有可能配置两种或更多形式的2FA。每增加一个因素，用户就不太可能丢失所有因素，最终被锁定，从而获得更顺畅、更可靠的用户体验。

用户体验和支持

知道我们需要帮助开发人员使用强大的帐户安全性，同时保持无缝用户体验的承诺，我们投资了许多改进，包括刷新2FA登录流，并添加GitHub移动2FA以及更多关于主要2FA因素的用户选项。虽然人们可以合理地预期，随着平台上相对使用量的增加，2FA相关的支持票证也会增加，但我们看到的情况恰恰相反。由于在推出前对用户体验和设计进行了大量投资，我们看到2FA相关支持票减少三分之一.

此外，GitHub支持团队的额外内部工作流优化和自动化导致需要大量人工干预的2FA帐户恢复支持票证减少54%。今天，超过75%的帐户恢复票据通过产品内工作流，它从用户那里收集恢复详细信息，并自动检查风险因素，以及我们知道的安全场景（例如在您仍然登录的情况下进行帐户恢复）。这种数据收集和审查大大减少了GitHub支持团队审查这些恢复尝试所需的时间，使被锁定的用户能够比以往更快地安全返回他们的帐户，并使GitHub能够将2FA注册扩展到数百万用户。

我们还引入了2FA验证检查这发生在2FA设置后28天，以确保用户有机会验证其配置。这次检查是一次故障保护，有助于25%的用户成功地重新配置了帐户如果他们犯了错误或丢失了一个因素，从而避免了用户的帐户锁定，并大大减少了GitHub的帐户恢复支持量。

生态系统影响

虽然我们的主要关注点是确保GitHub.com上的开发人员的安全，但我们也有意以透明的方式进行部署，以激励更多组织在GitHub和净现值法要求他们自己的2FA要求。每个成功启用2FA的用户帐户都是攻击者危害组织或重要开源软件的少一个载体。在过去两年里，我们被鼓励看到RubyGems公司,PyPI公司，以及美国焊接学会加入我们的努力，推动2FA的使用增加，以确保我们共享的生态系统和软件供应链的安全.

期待🔭

现在是2024年，你可能会问，“为什么我没有得到2FA要求？”虽然我们对2023年在2FA中招收数百万开发人员的进展感到欣喜若狂，但保护软件供应链和负责此项工作的开发人员的工作并没有结束。我们的初始工作划分优先级的不同用户组基于其用户权限或采取的特定操作的影响。

对于那些可能无法使用手机或无法控制用于采用2FA的计算机软件的用户，还需要进行重要的行业范围的支持工作。作为一个全球平台，我们相信每个人应该能够访问使软件开发更容易、更安全的工具，我们正在努力为尽可能多的开发人员实施强身份验证。我们将继续寻找保护开发人员、他们正在从事的项目以及他们参与的社区的解决方案，努力采取平衡的方法，大大提高整个软件供应链的安全性，同时不限制世界各地具有不同设置或环境的人。

展望未来，我们正在评估如何在2024年期间要求更多GitHub.com用户注册2FA，同时继续监控和改善用户体验。我们正在研究其他帐户安全功能，例如会话和令牌绑定，这将使开发人员及其组织能够更好地管理帐户泄露风险，无论是否使用2FA。我们还希望继续推动平台上开发人员采用最安全的因素，如密钥或安全密钥，并帮助开发人员“升级”到更安全的身份验证器类型。在整个过程中，使安全变得简单有效仍然是头等大事-毕竟，不可用的安全根本就不是安全。

行动号召📣

我们都可以在保护软件生态系统方面发挥作用，平台必须致力于既是软件的负责任消费者，又是软件的贡献者。GitHub选择大规模采用2FA，因为我们认为这是保护整个生态系统的正确做法，我们认为其他组织加入我们至关重要。我们在这里的工作表明，在不负面影响用户体验的情况下，可以显著提高安全标准。我们鼓励其他组织在可能的情况下，强烈考虑在自己的平台上制定2FA要求。

如果你想了解更多怎样我们推出了面向数百万开发人员的2FA，期待着在未来几周内发布后续帖子，深入了解我们的工作。

如果你想加入我们的努力，在您自己的帐户上启用2FA,采用密钥，或您的组织需要2FA.

注意：如果您或您的组织正在实施内部2FA相关政策，请注意，我们的要求并不是针对所有GitHub.com用户设计的。阅读有关我们当前注册标准的更多信息在这里并考虑您的组织需要2FA.