A partir de la próxima semana, GitHub requerirá que los desarrolladores activos en el sitio habiliten al menos una forma de autenticación de dos factores (2FA). La iniciativa de seguridad comenzará con grupos especialmente seleccionados de desarrolladores y administradores el 13 de marzo.
Hasta fin de año, GitHub comenzará a notificar a aquellos que hayan sido seleccionados sobre el requisito de 2FA. A medida que avance el año, más y más usuarios se verán obligados a habilitar la autenticación de dos factores.
Ver también:
Al lanzar las nuevas medidas de seguridad, GitHub dice:”El 13 de marzo, oficialmente comenzar a implementar nuestra iniciativa para exigir a todos los desarrolladores que contribuyan con código en GitHub.com que habiliten una o más formas de autenticación de dos factores (2FA) para fines de 2023″.
GitHub mostrará una notificación de banner en las cuentas seleccionadas para la inscripción en el programa, informándoles de la necesidad de habilitar 2FA dentro de los 45 días. Cuando llegue el día de la fecha límite, cualquier persona que haya sido seleccionada pero aún haya presentado una solicitud para habilitar 2FA se le solicitará diariamente que lo haga.
Si no habilita la autenticación de dos factores una semana después de la fecha límite, perderá el acceso a GitHub función hasta que esté habilitada.
GitHub dice que está realizando varios cambios en la’experiencia’de 2FA para suavizar la transición:
Validación del segundo factor después de la configuración de 2FA. Los usuarios de GitHub.com que configuraron 2FA verán un aviso después de 28 días, pidiéndoles realizar 2FA y confirmar la configuración del segundo factor. Este mensaje ayuda a evitar el bloqueo de la cuenta debido a aplicaciones de autenticación mal configuradas (aplicaciones TOTP). Si descubre que no puede realizar 2FA, se le presentará un acceso directo que le permitirá restablecer su configuración de 2FA sin que se le bloquee el acceso a su cuenta. Inscriba segundos factores. Es importante tener métodos 2FA más accesibles para garantizar que siempre tenga acceso a su cuenta. Ahora puede tener tanto una aplicación de autenticación (TOTP) como un número de SMS registrados en su cuenta al mismo tiempo. Si bien recomendamos usar claves de seguridad y su aplicación TOTP a través de SMS, lo que permite ambos al mismo tiempo ayuda a reducir el bloqueo de la cuenta al proporcionar otra opción 2FA accesible y comprensible que los desarrolladores pueden habilitar.Elija su método 2FA preferido. El nuevo opción preferida le permite configurar su método 2FA preferido para el inicio de sesión de la cuenta y el uso del indicador sudo, por lo que siempre se le preguntará primero por su método favorito durante el inicio de sesión. Puede elegir entre TOTP, SMS, claves de seguridad o GitHub Mobile como su método 2FA preferido. Te recomendamos encarecidamente el uso de llaves de seguridad y TOTP siempre que sea posible. 2FA basado en SMS no proporciona el mismo nivel de protección y ya no se recomienda según NIST 800-63B. Los métodos más fuertes ampliamente disponibles son aquellos que admiten el estándar de autenticación segura WebAuthn. Estos métodos incluyen llaves de seguridad físicas, así como dispositivos personales compatibles con tecnologías, como Windows Hello o Face ID/Touch ID.Desvincule su correo electrónico en caso de bloqueo 2FA. Dado que se requieren cuentas en GitHub para tienen una dirección de correo electrónico única, los usuarios bloqueados tienen dificultades para iniciar una nueva cuenta con su dirección de correo electrónico preferida, a la que apuntan todas sus confirmaciones. Con esta función, ahora puede desvincule su dirección de correo electrónico de una cuenta de GitHub habilitada para dos factores en caso de que no pueda iniciar sesión o recuperarla. Si no puede encontrar una clave SSH, PAT o un dispositivo que haya iniciado sesión previamente en GitHub para recuperar su cuenta, es fácil comenzar de nuevo con una nueva cuenta de GitHub.com y mantener ese gráfico de contribución correctamente verde.
Hay más información disponible en Publicación de blog de GitHub.