GitHub exigirá 2FA de desenvolvedores ativos até o final de 2023

0
334

[ad_1]

O GitHub anunciou hoje que todos os usuários que contribuem com código para sua plataforma (um total estimado de 83 milhões de desenvolvedores) precisarão habilitar a autenticação de dois fatores (2FA) em suas contas até o final de 2023.

Os contribuidores ativos que precisarão habilitar o 2FA incluem, mas não estão limitados a, usuários do GitHub que confirmam código, usam ações, abrem ou mesclam solicitações pull ou publicam pacotes.

Os desenvolvedores podem usar uma ou mais opções de 2FA, incluindo chaves de segurança físicas, chaves de segurança virtuais incorporadas em dispositivos como telefones e laptops ou aplicativos de autenticação de senha única baseada em tempo (TOTP).

Embora o 2FA baseado em SMS também seja uma opção (em alguns países), o GitHub recomenda a mudança para chaves de segurança ou TOTP, pois os agentes de ameaças podem ignorar ou roubar tokens de autenticação SMS 2FA.

“Os proprietários de organizações e empresas do GitHub.com também podem exigir 2FA para membros de suas organizações e empresas”, disse o diretor de segurança Mike Hanley.

“Observe que os membros e proprietários da organização e da empresa que não usam 2FA serão removidos da organização ou empresa quando essas configurações forem habilitadas.”

Esta é a mais recente ação do GitHub para proteger ainda mais a cadeia de fornecimento de software contra ataques, afastando-se da autenticação básica baseada em senha.

A plataforma de hospedagem de código anunciou anteriormente que exigiria verificação de dispositivo baseada em e-mail e depreciação de senhas de conta para autenticar as operações do Git.

O GitHub também desativou a autenticação de senha por meio da API REST em novembro de 2020 e adicionou suporte para proteger as operações Git SSH usando chaves de segurança FIDO2 em maio de 2021.

O GitHub também melhorou a segurança da conta ao longo dos anos, adicionando autenticação de dois fatores, alertas de login, bloqueando o uso de senhas comprometidas e suporte WebAuthn.

Por que 2FA?

Habilitar a autenticação de dois fatores em contas do GitHub aumenta a resiliência contra tentativas de controle, bloqueando tentativas de usar credenciais roubadas ou senhas reutilizadas em ataques de seqüestro.

Como o diretor de segurança de identidade da Microsoft, Alex Weinert, explicou alguns anos atrás: “Sua senha não importa, mas a MFA sim! De acordo com nossos estudos, sua conta tem 99,9% menos probabilidade de ser comprometida se usar a MFA”.

Ele também disse que “usar qualquer coisa além da senha aumenta significativamente os custos para os invasores, razão pela qual a taxa de comprometimento de contas usando qualquer tipo de MFA é inferior a 0,1% da população geral”.

O Google também revelou anteriormente que “simplesmente adicionar um número de telefone de recuperação à sua conta do Google pode bloquear até 100% dos bots automatizados, 99% dos ataques de phishing em massa e 66% dos ataques direcionados”, com “zero usuários usando exclusivamente chaves de segurança. ” foi vítima de spear phishing”.

Hanley acrescentou hoje que, embora o 2FA já tenha provado ser uma maneira fácil de proteger as contas contra o sequestro, “apenas cerca de 16,5% dos usuários ativos do GitHub e 6,44% dos usuários do npm usam uma ou mais formas de 2FA”.

O GitHub fornece informações detalhadas sobre como configurar o 2FA para sua conta do GitHub, recuperar contas quando você perde credenciais de 2FA e desabilitar o 2FA para contas pessoais.

[ad_2]