О возможности обязательного 2FA
Ваша учетная запись выбрана для обязательной 2FA, если вы предприняли некоторые действия по GitHub Enterprise Cloud, которые показывают, что вы являетесь участником. К допустимым действиям относятся следующие действия:
- Публикация приложения или действия для других пользователей
- Создание выпуска для репозитория
- Участие в конкретных репозиториях с высоким уровнем важности, таких как проекты, отслеживаемые Фондом безопасности с открытым исходным кодом
- Быть администратором или участником репозитория с высокой важностью
- Владелец организации для организации, содержащей репозитории или другие пользователи
- Быть администратором или участником репозиториев, публикующих один или несколько пакетов
- Быть администратором предприятия
GitHub постоянно оценивает улучшения функций безопасности учетной записи и требований 2FA, поэтому эти критерии могут меняться с течением времени.
Примечание. Если у вашей учетной записи есть купон на образование, он освобождается от обязательной 2FA.
О обязательном 2FA для организаций и предприятий
Обязательный 2FA требуется GitHub для повышения безопасности как для отдельных разработчиков, так и для более широкой экосистемы разработки программного обеспечения. Администратор может также требовать включение 2FA в качестве требования для присоединения к своей организации или предприятия, но эти требования отличаются от этой программы. Сведения о том, какие пользователи включили 2FA или необходимы для этого, см. в разделе "[AUTOTITLE" илиПросмотр пользователей в организации](/organizations/keeping-your-organization-secure/managing-two-factor-authentication-for-your-organization/viewing-whether-users-in-your-organization-have-2fa-enabled)".
Право вашей учетной записи на обязательное 2FA не влияет на право других лиц. Например, если вы являетесь владелец организации, и ваша учетная запись имеет право на обязательное 2FA, это не влияет на право доступа к другим учетным записям в вашей организации.
Примечание. GitHub Enterprise Managed Users и локальных пользователей GitHub Enterprise Server не **** требуются для включения 2FA. Обязательное включение 2FA применяется только к пользователям с паролем на GitHub.com.
О сбое включения обязательной 2FA
Если вы не включите 2FA в течение 45-дневного периода установки, и вы разрешаете срок действия льготного периода 7 дней, вы не сможете получить доступ к GitHub.com до тех пор, пока не включите 2FA. Если вы пытаетесь получить доступ к GitHub.com, вам будет предложено включить 2FA.
Если не удается включить обязательный 2FA, маркеры, принадлежащие вашей учетной записи, будут продолжать функционировать, так как они используются в критической автоматизации. Эти маркеры включают personal access tokens и маркеры OAuth, выданные приложениям для действий от вашего имени. Включение 2FA не отменяет или не изменяет поведение маркеров, выданных для вашей учетной записи. Тем не менее заблокированные учетные записи не смогут авторизовать новые приложения или создать новые PATS, пока они не включили 2FA.
О обязательных методах 2FA
Мы рекомендуем настроить однократное приложение на основе времени (TOTP) в качестве основного метода 2FA и добавить пароль или ключ безопасности в качестве резервной копии. Если у вас нет ключа доступа или ключа безопасности, приложение GitHub Mobile также является хорошим вариантом резервного копирования. SMS является надежным в большинстве стран, но имеет риски безопасности, с которыми могут работать некоторые модели угроз.
В настоящее время мы не поддерживаем ключи доступа или ключи безопасности в качестве основных методов 2FA, так как они легко потерять и не поддерживают синхронизацию на достаточно широком диапазоне устройств. Так как ключи доступа более широко распространены и поддержка синхронизации более распространена, мы будем поддерживать их в качестве основного метода.
- Сведения о приложениях TOTP и обязательных 2FA
- О едином входе SAML и обязательном 2FA
- Сведения о проверке электронной почты и обязательном 2FA
Примечание. Мы рекомендуем хранить файлы cookie на GitHub.com. Если вы устанавливаете браузер для очистки файлов cookie каждый день, вы никогда не будете иметь проверенное устройство для целей восстановления учетной записи, так как _device_id
файл cookie используется для безопасного подтверждения использования этого устройства ранее. Дополнительные сведения см. в разделе Восстановление учетной записи при утере учетных данных для двухфакторной проверки подлинности.
Сведения о приложениях TOTP и обязательных 2FA
Приложения TOTP — это рекомендуемый фактор 2FA для GitHub. Дополнительные сведения о настройке приложений TOTP см. в разделе "Настройка двухфакторной проверки подлинности".
Если вы не хотите скачать приложение на мобильном устройстве, существует несколько вариантов для автономных приложений TOTP, работающих на разных платформах. Для классических приложений рекомендуется KeePassXC и для подключаемых модулей на основе браузера, рекомендуется использовать 1Password.
Вы также можете вручную настроить любое приложение, которое создает код, совместимый с RFC 6238. Дополнительные сведения о настройке приложения TOTP вручную см. в разделе "Настройка двухфакторной проверки подлинности". Дополнительные сведения о RFC 6238 см. в статье TOTP: Алгоритм одноразовых паролей на основе времени в документации по IETF.
Примечание. Если вы используете FreeOTP для 2FA, вы можете увидеть предупреждение о слабых криптографических параметрах. GitHub использует 80-разрядный секрет для обеспечения совместимости со старыми версиями Google Authenticator. 80 битов ниже 128 бит, рекомендуемых HOTP RFC, но в настоящее время у нас нет планов изменить это сообщение и рекомендовать игнорировать это сообщение. Дополнительные сведения см. в разделе HOTP: Алгоритм однократного пароля на основе HMAC в документации по IETF.
О едином входе SAML и обязательном 2FA
Если выбрано обязательное значение 2FA, необходимо зарегистрировать в 2FA на GitHub.com даже если для вашей компании уже требуется единый вход (SSO) с 2FA. Хотя единый вход с 2FA является мощным способом защиты организации или корпоративных ресурсов, он не защищает пользовательское содержимое на GitHub.com не связано с организацией или предприятием, а также не защищает профиль и параметры пользователя.
GitHub требует только выполнения 2FA при первоначальной проверке подлинности и конфиденциальных действиях, поэтому даже если вам нужно выполнять корпоративную 2FA каждый день для доступа к GitHub, вам редко придется выполнять 2FA во второй раз через GitHub. Дополнительные сведения о конфиденциальных действиях см. в разделе "Режим sudo".
Сведения о проверке электронной почты и обязательном 2FA
При входе в GitHub.comпроверка электронной почты не учитывается как 2FA. Адрес электронной почты вашей учетной записи используется для сброса пароля, который является формой восстановления учетной записи. Если злоумышленник имеет доступ к папке "Входящие" электронной почты, он может сбросить пароль для учетной записи и пройти проверку проверки подлинности устройства электронной почты, снизив защиту учетной записи до одного фактора. Для предотвращения этого сценария требуется второй фактор, поэтому второй фактор должен отличаться от почтового ящика. Если включить 2FA, мы больше не будем выполнять проверку электронной почты при входе.
Сведения о учетных записях служб и обязательных 2FA
Автоматические или общие учетные записи доступа в организации, такие как боты и учетные записи служб, выбранные для обязательной двухфакторной проверки подлинности, должны быть зарегистрированы в 2FA. Включение 2FA не отменяет или не изменяет поведение маркеров, выданных для учетной записи службы. GitHub рекомендует безопасно хранить секрет TOTP учетной записи службы в общем хранилище учетных данных. Дополнительные сведения см. в разделе Управление ботами и учетными записями служб с помощью двухфакторной проверки подлинности.
Сведения о конфиденциальности с обязательной 2FA
Если вы выбрали для обязательного 2FA, это не означает, что вам нужно предоставить GitHub с вашим номером телефона. Вам нужно указать только номер телефона, если вы используете SMS для 2FA. Вместо этого рекомендуется настроить приложение TOTP в качестве основного метода 2FA. Дополнительные сведения см. в разделе Настройка двухфакторной проверки подлинности.
Примечание. Регион может быть не указан в доступных параметрах SMS. Мы отслеживаем показатели успешной доставки SMS на основе каждого региона и запрещаем настройку для регионов с низкой скоростью доставки. Если регион не отображается в списке, необходимо настроить приложение TOTP. Дополнительные сведения о поддерживаемых регионах для SMS см. в разделе "Страны, в которых поддерживаются проверка подлинности с помощью SMS".