A partir da próxima semana, o GitHub exigirá que os desenvolvedores ativos no site habilitem pelo menos uma forma de autenticação de dois fatores (2FA). A iniciativa de segurança começará com grupos especialmente selecionados de desenvolvedores e administradores em 13 de março. Assim, o GitHub terá 2FA obrigatório para todos os desenvolvedores que contribuem com código na plataforma.
Até o final do ano, o GitHub começará a notificar aqueles que foram selecionados sobre o requisito 2FA. À medida que o ano avança, mais e mais usuários serão obrigados a habilitar a autenticação de dois fatores.
Lançando as novas medidas de segurança, o GitHub diz: “Em 13 de março, começaremos oficialmente a lançar nossa iniciativa para exigir que todos os desenvolvedores que contribuem com código no GitHub.com habilitem uma ou mais formas de autenticação de dois fatores (2FA) até o final de 2023”.
GitHub terá 2FA obrigatório para todos os desenvolvedores em uma nova unidade de segurança
O GitHub exibirá uma notificação de banner nas contas selecionadas para inscrição no programa, informando-as sobre a necessidade de habilitar o 2FA em 45 dias. Quando o dia do prazo chegar, qualquer pessoa que foi selecionada, mas ainda entrou para habilitar o 2FA, será solicitada diariamente a fazê-lo.
A falha em habilitar a autenticação de dois fatores uma semana após o prazo significará a perda de acesso ao recurso GitHub até que seja habilitado.
O GitHub diz que está fazendo várias alterações na “experiência” 2FA para suavizar a transição:
- Validação de segundo fator após a configuração 2FA. Os usuários do GitHub.com que configuram o 2FA verão um prompt após 28 dias, solicitando que executem o 2FA e confirmem suas configurações de segundo fator. Este prompt ajuda a evitar o bloqueio de conta devido a aplicativos autenticadores mal configurados (aplicativos TOTP). Se você achar que não pode executar 2FA, será apresentado um atalho que permite redefinir sua configuração 2FA sem ser bloqueado em sua conta.
- Registre os segundos fatores. Ter métodos 2FA mais acessíveis é importante para garantir que você sempre tenha acesso à sua conta. Agora você pode ter um aplicativo autenticador (TOTP) e um número de SMS registrado em sua conta ao mesmo tempo. Embora recomendemos o uso de chaves de segurança e seu aplicativo TOTP por SMS, permitir ambos ao mesmo tempo ajuda a reduzir o bloqueio de conta, fornecendo outra opção 2FA acessível e compreensível que os desenvolvedores podem habilitar.
- Escolha seu método 2FA preferido. A nova opção preferencial permite que você defina seu método 2FA preferido para login de conta e uso do prompt sudo, para que sempre seja solicitado seu método favorito primeiro durante o login. Você pode escolher entre TOTP, SMS, chaves de segurança ou GitHub Mobile como seu método 2FA preferido. Recomendamos fortemente o uso de chaves de segurança e TOTPs sempre que possível. O 2FA baseado em SMS não fornece o mesmo nível de proteção e não é mais recomendado pelo NIST 800-63B. Os métodos mais fortes amplamente disponíveis são aqueles que suportam o padrão de autenticação segura WebAuthn. Esses métodos incluem chaves de segurança físicas, bem como dispositivos pessoais que suportam tecnologias, como Windows Hello ou Face ID/Touch ID.
- Desvincule seu e-mail em caso de bloqueio 2FA. Como as contas no GitHub precisam ter um endereço de e-mail exclusivo, os usuários bloqueados têm dificuldade em iniciar uma nova conta usando seu endereço de e-mail preferido – aquele para o qual todos os seus commits apontam. Com esse recurso, agora você pode desvincular seu endereço de e-mail de uma conta do GitHub habilitada para dois fatores, caso não consiga fazer login ou recuperá-la. Se você não conseguir encontrar uma chave SSH, PAT ou um dispositivo que tenha sido conectado anteriormente ao GitHub para recuperar sua conta, é fácil começar do zero com uma nova conta do GitHub.com e manter esse gráfico de contribuição verde.
Mais informações estão disponíveis na postagem do blog do GitHub.