À partir de la semaine prochaine, GitHub demandera aux développeurs actifs sur le site d’activer au moins une forme d’authentification à deux facteurs (2FA). L’initiative de sécurité commencera avec des groupes de développeurs et d’administrateurs spécialement sélectionnés le 13 mars.
Jusqu’à la fin de l’année, GitHub commencera à informer ceux qui ont été sélectionnés de l’exigence 2FA. Au fil de l’année, de plus en plus d’utilisateurs seront obligés d’activer l’authentification à deux facteurs.
Voir aussi :
En lançant les nouvelles mesures de sécurité, GitHub déclare :”Le 13 mars, nous allons officiellement commencer à déployer notre initiative pour exiger que tous les développeurs qui contribuent au code sur GitHub.com activent une ou plusieurs formes d’authentification à deux facteurs (2FA) d’ici la fin de 2023″.
GitHub affichera une notification de bannière sur les comptes sélectionnés pour l’inscription au programme les informant de la nécessité d’activer 2FA dans les 45 jours. Lorsque le jour de la date limite arrive, toute personne qui a été sélectionnée mais qui a encore déposé une demande d’activation de 2FA sera invitée quotidiennement à le faire.
Si vous n’activez pas l’authentification à deux facteurs une semaine après la date limite, vous perdrez l’accès à GitHub fonctionnalité jusqu’à ce qu’elle soit activée.
GitHub indique qu’il apporte diverses modifications à”l’expérience”2FA pour faciliter la transition :
Validation du deuxième facteur après la configuration de 2FA. Les utilisateurs de GitHub.com qui ont configuré 2FA verront une invite après 28 jours, leur demandant de effectuer 2FA et confirmer leurs paramètres de second facteur. Cette invite permet d’éviter le verrouillage du compte en raison d’applications d’authentification mal configurées (applications TOTP). Si vous constatez que vous ne pouvez pas effectuer la 2FA, un raccourci vous permettra de réinitialiser votre configuration 2FA sans être bloqué sur votre compte.Inscrivez des seconds facteurs. Il est important de disposer de méthodes 2FA plus accessibles pour vous assurer d’avoir toujours accès à votre compte. Vous pouvez maintenant avoir à la fois une application d’authentification (TOTP) et un numéro de SMS enregistrés sur votre compte en même temps. Bien que nous recommandons en utilisant des clés de sécurité et votre application TOTP par SMS, autoriser les deux en même temps aide à réduire le verrouillage du compte en fournissant une autre option 2FA accessible et compréhensible que les développeurs peuvent activer.Choisissez votre méthode 2FA préférée. La nouvelle l’option préférée vous permet de définir votre méthode 2FA préférée pour la connexion au compte et l’utilisation de l’invite sudo, de sorte qu’on vous demande toujours votre méthode préférée en premier lors de la connexion. Vous pouvez choisir entre TOTP, SMS, clés de sécurité ou GitHub Mobile comme méthode 2FA préférée. Nous recommandons fortement l’utilisation de clés de sécurité et de TOTP dans la mesure du possible. 2FA basé sur SMS n’offre pas le même niveau de protection et n’est plus recommandé par NIST 800-63B. Les méthodes les plus puissantes largement disponibles sont celles qui prennent en charge la norme d’authentification sécurisée WebAuthn. Ces méthodes incluent des clés de sécurité physiques, ainsi que des appareils personnels prenant en charge des technologies telles que Windows Hello ou Face ID/Touch ID.Dissociez votre e-mail en cas de verrouillage 2FA. Étant donné que les comptes sur GitHub sont nécessaires pour ont une adresse e-mail unique, les utilisateurs verrouillés ont des difficultés à créer un nouveau compte en utilisant leur adresse e-mail préférée-celle vers laquelle tous leurs commits pointent. Grâce à cette fonctionnalité, vous pouvez désormais dissociez votre adresse e-mail d’un compte GitHub activé à deux facteurs au cas où vous ne parviendriez pas à vous connecter ou à la récupérer. Si vous ne parvenez pas à trouver une clé SSH, un PAT ou un appareil qui a déjà été connecté à GitHub pour récupérer votre compte, il est facile de repartir à neuf avec un nouveau compte GitHub.com et de garder ce graphique de contribution légitimement vert.
Plus d’informations sont disponibles dans Article de blog de GitHub.