O GitHub anunciou que todos os usuários que contribuem com código em sua plataforma (um total estimado de 83 milhões de desenvolvedores) precisarão habilitar a autenticação de dois fatores (2FA) em suas contas até o final de 2023.
Os contribuidores ativos que precisarão habilitar o 2FA incluem, mas não estão limitados a, usuários do GitHub que confirmam código, usam ações, abrem ou mesclam solicitações pull ou publicam pacotes.
Os desenvolvedores podem usar uma ou mais opções de 2FA, incluindo chaves de segurança físicas, chaves de segurança virtuais incorporadas a dispositivos como telefones e laptops ou aplicativos autenticadores de senha de uso único com base em tempo (TOTP).
Embora o 2FA baseado em SMS também seja uma opção (em alguns países), o GitHub recomenda a mudança para chaves de segurança ou TOTPs, pois os agentes de ameaças podem ignorar ou roubar tokens de autenticação SMS 2FA.
“Os proprietários de organizações e empresas do GitHub.com também podem exigir 2FA para membros de suas organizações e empresas”, disse o diretor de segurança, Mike Hanley.
“Observe que os membros e proprietários de organizações e empresas que não usam 2FA serão removidos da organização ou empresa quando essas configurações forem habilitadas.”
Esta é a última etapa do GitHub para proteger ainda mais a cadeia de fornecimento de software contra ataques, afastando-se da autenticação básica baseada em senha.
A plataforma de hospedagem de código anunciou anteriormente que exigiria verificação de dispositivo baseada em e-mail e a descontinuação de senhas de contas para autenticar operações do Git.
O GitHub também desativou a autenticação de senha por meio da API REST em novembro de 2020 e adicionou suporte para proteger operações SSH Git usando chaves de segurança FIDO2 em maio de 2021.
O GitHub também melhorou a segurança da conta ao longo dos anos, adicionando autenticação de dois fatores, alertas de login, bloqueando o uso de senhas comprometidas e suporte WebAuthn.
Por que o GitHub exigirá autenticação de dois fatores até o final de 2023?
Habilitar a autenticação de dois fatores em contas do GitHub aumenta a resiliência contra tentativas de controle, bloqueando tentativas de usar credenciais roubadas ou senhas reutilizadas em ataques de seqüestro.
Como o diretor de segurança de identidade da Microsoft, Alex Weinert, explicou alguns anos atrás, “sua senha não importa, mas a MFA sim! Com base em nossos estudos, sua conta tem 99,9% menos probabilidade de ser comprometida se você usar a MFA”.
Ele também disse que “o uso de qualquer coisa além da senha aumenta significativamente os custos para os invasores, razão pela qual a taxa de comprometimento de contas usando qualquer tipo de MFA é inferior a 0,1% da população geral”.
O Google também revelou anteriormente que “simplesmente adicionar um número de telefone de recuperação à sua Conta do Google pode bloquear até 100% dos bots automatizados, 99% dos ataques de phishing em massa e 66% dos ataques direcionados”, com “zero usuários que usam exclusivamente chaves de segurança foi vítima de phishing direcionado.”
Hanley acrescentou hoje que, embora o 2FA já tenha provado ser uma maneira simples de proteger contas contra o sequestro, “apenas aproximadamente 16,5% dos usuários ativos do GitHub e 6,44% dos usuários do npm usam uma ou mais formas de 2FA”.
O GitHub fornece informações detalhadas sobre como configurar o 2FA para sua conta do GitHub, recuperar contas ao perder credenciais 2FA e desabilitar o 2FA para contas pessoais.
Via BleepingComputer
