GitHub anuncia una experiencia 2FA mejorada para cuentas npm

Ayer, GitHub ha lanzado una nueva versión beta pública para mejorar notablemente la experiencia de autenticación de dos factores (2FA) para todas las cuentas de usuario de npm.

Myles Borins, gerente de productos de código abierto en GitHub, dijo que la plataforma de alojamiento de código ahora permite que las cuentas npm registren "factores de varios segundos, como claves de seguridad, dispositivos biométricos y aplicaciones de autenticación".

También ha introducido un nuevo menú de configuración 2FA que permite a los usuarios gestionar claves registradas y códigos de recuperación.

Las características adicionales disponibles a partir de hoy incluyen la capacidad de ver y regenerar códigos de recuperación y soporte completo de interfaz de línea de comandos (CLI).

Aquellos inscritos en esta versión beta pública podrán iniciar sesión y publicar a través de la CLI utilizando claves de seguridad físicas y dispositivos biométricos.

Estos cambios se producen después de la implementación en diciembre  de una verificación de inicio de sesión mejorada  para todos los editores de npm en respuesta a una serie masiva de adquisiciones de cuentas.

Dos meses después, GitHub aplicó 2FA para  todos los editores de los 100 paquetes principales por dependiente , con todos los editores de los 500 paquetes principales y de alto impacto inscritos a principios de 2022.

Implementación de 2FA en toda la plataforma

GitHub también  reveló la semana pasada  que todos los contribuyentes de código activos (un total estimado de 83 millones de desarrolladores) deberán habilitar la autenticación de dos factores (2FA) en sus cuentas hasta fines del próximo año.

Los desarrolladores pueden usar varias opciones de 2FA para proteger sus cuentas, incluidas claves de seguridad físicas, claves de seguridad virtuales integradas en dispositivos como teléfonos o computadoras portátiles, y aplicaciones de autenticación de contraseñas de un solo uso basadas en el tiempo (TOTP).

Aunque la 2FA basada en SMS también es una opción (solo  en algunos países ), GitHub instó a los usuarios a cambiar a claves de seguridad o TOTP, dado que los actores de amenazas pueden eludir la 2FA por SMS o robar tokens de autenticación enviados por SMS.

GitHub también mejoró la seguridad de la cuenta a lo largo de los años al agregar  alertas de inicio de sesión ,  autenticación de dos factores y  compatibilidad con WebAuthn .

El impulso beta público de hoy hacia una mayor seguridad de la cuenta npm es el último paso de GitHub para proteger la cadena de suministro de software de los ataques al alejarse de la autenticación básica basada en contraseña.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta