A partir da próxima semana, o GitHub exigirá que os desenvolvedores ativos no site habilitem pelo menos uma forma de autenticação de dois fatores (2FA). A iniciativa de segurança começará com grupos especialmente selecionados de desenvolvedores e administradores em 13 de março.
Até o final do ano, o GitHub começará a notificar aqueles que foram selecionados sobre o requisito 2FA. À medida que o ano avança, mais e mais usuários serão obrigados a habilitar a autenticação de dois fatores.
Veja também:
Lançando as novas medidas de segurança, GitHub diz:”Em 13 de março, iremos oficialmente comece a lançar nossa iniciativa para exigir que todos os desenvolvedores que contribuem com código no GitHub.com habilitem uma ou mais formas de autenticação de dois fatores (2FA) até o final de 2023″.
O GitHub exibirá uma notificação de banner nas contas selecionadas para adesão ao programa informando sobre a necessidade de habilitação do 2FA em até 45 dias. Quando o dia do prazo chegar, qualquer pessoa que foi selecionada, mas ainda registrou para habilitar o 2FA, será solicitada diariamente a fazê-lo.
A falha em habilitar a autenticação de dois fatores uma semana após o prazo significará a perda do acesso ao GitHub recurso até que seja ativado.
O GitHub diz que está fazendo várias alterações na’experiência’2FA para suavizar a transição:
Validação de segundo fator após a configuração 2FA. Os usuários do GitHub.com que configurarem o 2FA verão uma solicitação após 28 dias, solicitando que executar 2FA e confirmar suas configurações de segundo fator. Este prompt ajuda a evitar o bloqueio de conta devido a aplicativos autenticadores mal configurados (aplicativos TOTP). Se você achar que não pode executar 2FA, será apresentado um atalho que permite redefinir sua configuração 2FA sem ser bloqueado em sua conta.Inscrever segundos fatores. Ter métodos 2FA mais acessíveis é importante para garantir que você sempre tenha acesso à sua conta. Agora você pode ter um aplicativo autenticador (TOTP) e um número de SMS registrado em sua conta ao mesmo tempo. Embora recomendemos usar chaves de segurança e seu aplicativo TOTP por SMS, permitindo que ambos ao mesmo tempo ajudem a reduzir o bloqueio de conta, fornecendo outra opção 2FA acessível e compreensível que os desenvolvedores podem ativar.Escolha seu método 2FA preferido. O novo A opção preferida permite que você defina seu método 2FA preferido para login na conta e uso do prompt sudo, portanto, sempre será solicitado seu método favorito primeiro durante o login. Você pode escolher entre TOTP, SMS, chaves de segurança ou GitHub Mobile como seu método 2FA preferido. Nós recomendamos fortemente o uso de chaves de segurança e TOTPs sempre que possível. O 2FA baseado em SMS não fornece o mesmo nível de proteção e não é mais recomendado pelo NIST 800-63B. Os métodos mais fortes amplamente disponíveis são aqueles que suportam o padrão de autenticação segura WebAuthn. Esses métodos incluem chaves de segurança físicas, bem como dispositivos pessoais compatíveis com tecnologias, como Windows Hello ou Face ID/Touch ID.Desvincule seu e-mail em caso de bloqueio 2FA. Como as contas no GitHub são necessárias para têm um endereço de e-mail exclusivo, os usuários bloqueados têm dificuldade em iniciar uma nova conta usando seu endereço de e-mail preferido-aquele para o qual todos os seus commits apontam. Com esse recurso, agora você pode desvincule seu endereço de e-mail de uma conta do GitHub habilitada para dois fatores, caso não consiga fazer login ou recuperá-la. Se você não conseguir encontrar uma chave SSH, PAT ou um dispositivo que tenha sido conectado anteriormente ao GitHub para recuperar sua conta, é fácil começar do zero com uma nova conta do GitHub.com e manter esse gráfico de contribuição verde.
Mais informações estão disponíveis em Postagem do blog do GitHub.