GitHub hace que 2FA sea obligatorio la próxima semana

GitHub comenzará a requerir que los desarrolladores activos habiliten la autenticación de dos factores (2FA) en sus cuentas a partir de la próxima semana, el 13 de marzo.

Una vez expandido a toda la base de usuarios de la compañía, el requisito de inscripción 2FA ayudará a asegurar las cuentas de más de 100 millones de usuarios.

El lanzamiento gradual comenzará la próxima semana con GitHub llegando a grupos más pequeños de administradores y desarrolladores por correo electrónico y se acelerará a medida que se acerque el final del año para garantizar que la incorporación sea perfecta y que los usuarios tengan tiempo para resolver cualquier problema.

"GitHub ha diseñado un proceso de implementación destinado a minimizar las interrupciones inesperadas y la pérdida de productividad para los usuarios y evitar bloqueos de cuentas", dijeron el gerente de producto de personal Hirsch Singhal y la directora de marketing de productos Laura Paine.

"Se les pedirá a los grupos de usuarios que habiliten 2FA a lo largo del tiempo, cada grupo seleccionado en función de las acciones que han realizado o el código al que han contribuido".

Si su cuenta es seleccionada para la inscripción, recibirá un correo electrónico y verá un banner en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta solicitándole que se inscriba en el programa de autenticación de dos factores (2FA).

Luego, tendrá 45 días para configurar 2FA en su cuenta, durante los cuales puede seguir usando su cuenta de GitHub como de costumbre, excepto recordatorios ocasionales.

GitHub lo mantendrá actualizado sobre su fecha límite de habilitación, y una vez que haya pasado, se le pedirá que habilite 2FA la primera vez que acceda a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta y se le bloqueará el acceso a algunas funciones hasta que se active 2FA.


Esto sigue a dos anuncios anteriores de mayo y diciembre de que todos los desarrolladores que contribuyan con código en la plataforma deberán habilitar 2FA para fines de 2023.

GitHub proporciona instrucciones detalladas sobre cómo configurar 2FA para su cuenta y recuperar cuentas al perder credenciales de 2FA.

Los desarrolladores pueden usar una o más opciones de 2FA, incluidas las claves de seguridad físicas, las claves de seguridad virtuales integradas en dispositivos móviles como teléfonos inteligentes y computadoras portátiles, las aplicaciones de autenticación de contraseña de un solo uso basada en el tiempo (TOTP) o la aplicación GitHub Mobile (después de configurar TOTP o SMS 2FA).

Aunque 2FA basado en mensajes de texto también es una opción (en algunos países), GitHub está instando a los usuarios a cambiar a claves de seguridad o aplicaciones TOTP porque los actores de amenazas pueden omitir SMS 2FA o robar tokens de autenticación SMS 2FA para secuestrar las cuentas de los desarrolladores.

Asegurar la cadena de suministro de software

Habilitar 2FA en cuentas de GitHub aumenta la resiliencia contra la toma de control de cuentas al bloquear los intentos de usar contraseñas reutilizadas o credenciales robadas en ataques de secuestro.

Este es el último movimiento de la compañía para asegurar la cadena de suministro de software al alejarse de la autenticación básica basada en contraseña.

Anteriormente, la plataforma de alojamiento de código implementaba la verificación de dispositivos basada en correo electrónico y eliminaba gradualmente las contraseñas de cuenta para la autenticación de operaciones de Git.

Además, GitHub deshabilitó la autenticación de contraseña a través de la API REST en noviembre de 2020 e introdujo soporte para claves de seguridad FIDO2 para asegurar las operaciones SSH Git en mayo de 2021.

A lo largo de los años, GitHub ha mejorado las medidas de seguridad de su cuenta al incorporar autenticación de dos factores, alertas de inicio de sesión, bloquear el uso de contraseñas comprometidas y brindar soporte para WebAuthn.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta