GitHub pretende fortalecer a segurança de seus usuários implementando 2FA
A partir da próxima semana, O GitHub exigirá desenvolvedores ativos no lugar habilite pelo menos uma forma de autenticação de dois fatores (2FA). A iniciativa de segurança começou em 13 de março com grupos especialmente selecionados de desenvolvedores e administradores.
Até o final do ano, o GitHub começará a notificar os selecionados sobre a exigência de usar a autenticação de dois fatores. À medida que o ano avança, mais e mais usuários serão forçados a habilitar a autenticação de dois fatores.
Ao liberar as novas medidas de segurança, o GitHub declara:
“Em 13 de março, começaremos oficialmente a lançar nossa iniciativa para exigir que todos os desenvolvedores que contribuem com código para o GitHub.com habilitem uma ou mais formas de autenticação de dois fatores (2FA) até o final de 2023”.
GitHub mostrará um banner de notificação nos contas selecionadas para participar do programa, notificando-as a necessidade de ativar a autenticação de dois fatores em 45 dias. No dia do prazo, as pessoas que foram selecionadas, mas ainda não preencheram o formulário de ativação 2FA, serão solicitadas diariamente a fazê-lo.
se autenticação dois fatores não habilitado uma semana após o prazo, o acesso será removido para o recurso GitHub até que seja ativado.
GitHub dito está fazendo várias mudanças na "experiência" 2FA para facilitar a transição:
- Validação do segundo fator após a configuração 2FA.
Isso visa garantir que os usuários do GitHub que configuraram o 2FA vejam uma mensagem após 28 dias solicitando que executem o 2FA e confirmem a configuração do segundo fator. Este aviso ajuda a evitar o bloqueio de conta devido a aplicativos autenticadores mal configurados (aplicativos TOTP). Se a autenticação 2FA não puder ser executada, um atalho permitirá que você redefina as configurações de autenticação 2FA sem bloquear sua conta. - Inscrever segundos fatores
Com esta alteração pretende-se que não seja implementado apenas um método 2FA, mas sim que possa ter mais, para além de os tornar mais acessíveis para garantir que tem sempre acesso à conta.Agora você pode ter um aplicativo autenticador (TOTP) e um número de SMS registrado em sua conta. Embora recomendemos o uso de chaves de segurança e seu aplicativo TOTP via SMS, permitir os dois métodos ao mesmo tempo ajuda a reduzir o bloqueio de conta, fornecendo outra opção 2FA acessível e compreensível que os desenvolvedores podem habilitar;
- Escolha do método 2FA preferido.
A nova opção preferida permite que o usuário configure seu método 2FA preferido para fazer login na conta e usar o prompt sudo, para que seu método preferido seja sempre solicitado primeiro no login. Você pode escolher entre TOTP, SMS, chaves de segurança ou GitHub Mobile como o método 2FA preferido. Além disso, é altamente recomendável usar chaves de segurança e TOTP sempre que possível. O SMS 2FA não oferece o mesmo nível de proteção e não é mais recomendado pelo NIST 800-63B. Os métodos mais poderosos disponíveis são aqueles que suportam o padrão de autenticação segura WebAuthn. Esses métodos incluem chaves físicas de segurança, - Desvinculação de e-mail em caso de bloqueio 2FA.
Como as contas no GitHub devem ter um endereço de e-mail exclusivo, os usuários bloqueados têm dificuldade em criar uma nova conta com seu endereço de e-mail preferido, para o qual todos os seus commits apontam. Com esse recurso, o dr agora pode desvincular seu endereço de e-mail de uma conta GitHub de dois fatores, caso você não consiga fazer login ou recuperá-lo. Se você não conseguir encontrar uma chave SSH, chave PAT ou dispositivo conectado anteriormente ao GitHub para recuperar sua conta, é fácil começar do zero com uma nova conta GitHub.com e manter seu gráfico de contribuição verde.
Por fim, se estiver interessado em saber mais sobre o assunto, pode consultar os detalhes no link a seguir