Сведения о обязательной двухфакторной проверке подлинности

Включите обязательную двухфакторную проверку подлинности для защиты учетной записи и поддержания доступа к GitHub.com.

В этой статье

О возможности обязательного 2FA

Учетная запись выбрана для обязательной 2FA, если вы предприняли некоторые действия по GitHub, которые показывают, что вы являетесь участник. К допустимым действиям относятся следующие действия:

  • Публикация приложения или действия для других пользователей.
  • Создание выпуска для репозитория.
  • Участие в конкретных репозиториях с высоким уровнем важности, таких как проекты, отслеживаемые Фондом безопасности Open Source.
  • Будучи администратором репозитория с высокой важностью.
  • Владелец организации для организации, содержащей репозитории или другие пользователи.
  • Будучи администратором предприятия.

GitHub постоянно оценивает улучшения функций безопасности учетной записи и требований 2FA, поэтому эти критерии могут меняться с течением времени.

Примечание. Если у вашей учетной записи есть купон образования, она освобождается от обязательной 2FA.

О обязательном 2FA для организаций и предприятий

Обязательный 2FA требуется GitHub для повышения безопасности как для отдельных разработчиков, так и для более широкой экосистемы разработки программного обеспечения. Администратор может также требовать включение 2FA в качестве требования для присоединения к своей организации или предприятия, но эти требования отличаются от этой программы. Сведения о том, какие пользователи включили 2FA или необходимы для этого, см. в разделе "[AUTOTITLE" илиПросмотр пользователей в организации](/organizations/keeping-your-organization-secure/managing-two-factor-authentication-for-your-organization/viewing-whether-users-in-your-organization-have-2fa-enabled)".

Право вашей учетной записи на обязательное 2FA не влияет на право других лиц. Например, если вы являетесь владелец организации, и ваша учетная запись имеет право на обязательное 2FA, это не влияет на право доступа к другим учетным записям в вашей организации.

Примечание. GitHub Enterprise Managed Users и локальных пользователей GitHub Enterprise Server не **** требуются для включения 2FA. Обязательное включение 2FA применяется только к пользователям с паролем на GitHub.com.

О сбое включения обязательной 2FA

Если вы не включите 2FA в течение 45-дневного периода установки, и вы разрешаете срок действия льготного периода 7 дней, вы не сможете получить доступ к GitHub.com до тех пор, пока не включите 2FA. Если вы пытаетесь получить доступ к GitHub.com, вам будет предложено включить 2FA.

Если не удается включить обязательный 2FA, маркеры, принадлежащие вашей учетной записи, будут продолжать функционировать, так как они используются в критической автоматизации. Эти маркеры включают personal access tokens и маркеры OAuth, выданные приложениям для действий от вашего имени. Включение 2FA не отменяет или не изменяет поведение маркеров, выданных для вашей учетной записи. Тем не менее заблокированные учетные записи не смогут авторизовать новые приложения или создать новые PATS, пока они не включили 2FA.

О обязательных методах 2FA

Мы рекомендуем настроить однократное приложение на основе времени (TOTP) в качестве основного метода 2FA и добавить пароль или ключ безопасности в качестве резервной копии. Если у вас нет ключа доступа или ключа безопасности, приложение GitHub Mobile также является хорошим вариантом резервного копирования. SMS является надежным в большинстве стран, но имеет риски безопасности, с которыми могут работать некоторые модели угроз.

В настоящее время мы не поддерживаем ключи доступа или ключи безопасности в качестве основных методов 2FA, так как они легко потерять и не поддерживают синхронизацию на достаточно широком диапазоне устройств. Так как ключи доступа более широко распространены и поддержка синхронизации более распространена, мы будем поддерживать их в качестве основного метода.

Примечание. Мы рекомендуем хранить файлы cookie на GitHub.com. Если вы устанавливаете браузер для очистки файлов cookie каждый день, вы никогда не будете иметь проверенное устройство для целей восстановления учетной записи, так как _device_id файл cookie используется для безопасного подтверждения использования этого устройства ранее. Дополнительные сведения см. в разделе Восстановление учетной записи при утере учетных данных для двухфакторной проверки подлинности.

Сведения о приложениях TOTP и обязательных 2FA

Приложения TOTP — это рекомендуемый фактор 2FA для GitHub. Дополнительные сведения о настройке приложений TOTP см. в разделе "Настройка двухфакторной проверки подлинности".

Если вы не хотите скачать приложение на мобильном устройстве, существует несколько вариантов для автономных приложений TOTP, работающих на разных платформах. Для классических приложений рекомендуется KeePassXC и для подключаемых модулей на основе браузера, рекомендуется использовать 1Password.

Вы также можете вручную настроить любое приложение, которое создает код, совместимый с RFC 6238. Дополнительные сведения о настройке приложения TOTP вручную см. в разделе "Настройка двухфакторной проверки подлинности". Дополнительные сведения о RFC 6238 см. в статье TOTP: Алгоритм одноразовых паролей на основе времени в документации по IETF.

Примечание. Если вы используете FreeOTP для 2FA, вы можете увидеть предупреждение о слабых криптографических параметрах. GitHub использует 80-разрядный секрет для обеспечения совместимости со старыми версиями Google Authenticator. 80 битов ниже 128 бит, рекомендуемых HOTP RFC, но в настоящее время у нас нет планов изменить это сообщение и рекомендовать игнорировать это сообщение. Дополнительные сведения см. в разделе HOTP: Алгоритм однократного пароля на основе HMAC в документации по IETF.

О едином входе SAML и обязательном 2FA

Если выбрано обязательное значение 2FA, необходимо зарегистрировать в 2FA на GitHub.com даже если для вашей компании уже требуется единый вход (SSO) с 2FA. Хотя единый вход с 2FA является мощным способом защиты организации или корпоративных ресурсов, он не защищает пользовательское содержимое на GitHub.com не связано с организацией или предприятием, а также не защищает профиль и параметры пользователя.

GitHub требует только выполнения 2FA при первоначальной проверке подлинности и конфиденциальных действиях, поэтому даже если вам нужно выполнять корпоративную 2FA каждый день для доступа к GitHub, вам редко придется выполнять 2FA во второй раз через GitHub. Дополнительные сведения о конфиденциальных действиях см. в разделе "Режим sudo".

Сведения о проверке электронной почты и обязательном 2FA

При входе в GitHub.comпроверка электронной почты не учитывается как 2FA. Адрес электронной почты вашей учетной записи используется для сброса пароля, который является формой восстановления учетной записи. Если злоумышленник имеет доступ к папке "Входящие", он может сбросить пароль для учетной записи и передать проверка проверки подлинности устройства электронной почты, что снижает защиту учетной записи до одного фактора. Для предотвращения этого сценария требуется второй фактор, поэтому второй фактор должен отличаться от почтового ящика. Если включить 2FA, мы больше не будем выполнять проверку электронной почты при входе.

Сведения о учетных записях служб и обязательных 2FA

Автоматические или общие учетные записи доступа в организации, такие как боты и учетные записи служб, выбранные для обязательной двухфакторной проверки подлинности, должны быть зарегистрированы в 2FA. Включение 2FA не отменяет или не изменяет поведение маркеров, выданных для учетной записи службы. GitHub рекомендует безопасно хранить секрет TOTP учетной записи службы в общем хранилище учетных данных. Дополнительные сведения см. в разделе Управление ботами и учетными записями служб с помощью двухфакторной проверки подлинности.

Сведения о конфиденциальности с обязательной 2FA

Если вы выбрали для обязательного 2FA, это не означает, что вам нужно предоставить GitHub с вашим номером телефона. Вам нужно указать только номер телефона, если вы используете SMS для 2FA. Вместо этого рекомендуется настроить приложение TOTP в качестве основного метода 2FA. Дополнительные сведения см. в разделе Настройка двухфакторной проверки подлинности.

Примечание. Регион может быть не указан в доступных параметрах SMS. Мы отслеживаем показатели успешной доставки SMS на основе каждого региона и запрещаем настройку для регионов с низкой скоростью доставки. Если регион не отображается в списке, необходимо настроить приложение TOTP. Дополнительные сведения о поддерживаемых регионах для SMS см. в разделе "Страны, в которых поддерживаются проверка подлинности с помощью SMS".