A partire dalla prossima settimana, GitHub richiederà agli sviluppatori attivi sul sito di abilitare almeno una forma di autenticazione a due fattori (2FA). L’iniziativa di sicurezza inizierà con gruppi appositamente selezionati di sviluppatori e amministratori il 13 marzo.
Fino alla fine dell’anno, GitHub inizierà a notificare coloro che sono stati selezionati del requisito 2FA. Con il passare dell’anno, sempre più utenti saranno obbligati ad abilitare l’autenticazione a due fattori.
Vedi anche:
Avviando le nuove misure di sicurezza, GitHub afferma:”Il 13 marzo, lo faremo ufficialmente iniziare a implementare la nostra iniziativa per richiedere a tutti gli sviluppatori che contribuiscono al codice su GitHub.com di abilitare una o più forme di autenticazione a due fattori (2FA) entro la fine del 2023″.
GitHub visualizzerà un banner di notifica sugli account selezionati per l’iscrizione al programma avvisandoli della necessità di abilitare la 2FA entro 45 giorni. Quando arriva il giorno della scadenza, chiunque sia stato selezionato ma abbia ancora richiesto di abilitare 2FA verrà richiesto quotidianamente di farlo.
La mancata abilitazione dell’autenticazione a due fattori una settimana dopo la scadenza significherà la perdita dell’accesso a GitHub funzione fino a quando non viene abilitata.
GitHub afferma che sta apportando varie modifiche all'”esperienza”2FA per agevolare la transizione:
Convalida di secondo fattore dopo l’installazione di 2FA. Gli utenti di GitHub.com che hanno configurato la 2FA vedranno un messaggio dopo 28 giorni, che chiede loro di eseguono 2FA e confermano le impostazioni del secondo fattore. Questa richiesta consente di evitare il blocco dell’account a causa di applicazioni di autenticazione configurate in modo errato (app TOTP). Se ritieni di non poter eseguire la 2FA, ti verrà presentata una scorciatoia che ti consente di reimpostare la configurazione della 2FA senza essere bloccato fuori dal tuo account.Iscriviti a fattori secondari. Avere metodi 2FA più accessibili è importante per garantire sempre l’accesso al tuo account. Ora puoi avere un’app di autenticazione (TOTP) e un numero SMS registrati contemporaneamente sul tuo account. Anche se consigliamo l’utilizzo dei token di sicurezza e dell’app TOTP tramite SMS, consentendoli entrambi allo stesso tempo, aiuta a ridurre il blocco dell’account fornendo un’altra opzione 2FA accessibile e comprensibile che gli sviluppatori possono abilitare.Scegli il tuo metodo 2FA preferito. Il nuovo L’opzione preferita ti consente di impostare il tuo metodo 2FA preferito per l’accesso all’account e l’uso del prompt sudo, quindi ti viene sempre chiesto prima il tuo metodo preferito durante l’accesso. Puoi scegliere tra TOTP, SMS, chiavi di sicurezza o GitHub Mobile come metodo 2FA preferito. consigliamo vivamente l’uso di token di sicurezza e TOTP ove possibile. La 2FA basata su SMS non fornisce lo stesso livello di protezione e non è più consigliata in NIST 800-63B. I metodi più potenti ampiamente disponibili sono quelli che supportano lo standard di autenticazione sicura WebAuthn. Questi metodi includono chiavi di sicurezza fisiche, nonché dispositivi personali che supportano tecnologie come Windows Hello o Face ID/Touch ID.Scollega la tua email in caso di blocco 2FA. Poiché gli account su GitHub sono tenuti a hanno un indirizzo email univoco, gli utenti bloccati hanno difficoltà ad avviare un nuovo account utilizzando il loro indirizzo email preferito, quello a cui puntano tutti i loro impegni. Con questa funzione, ora puoi scollega il tuo indirizzo email da un account GitHub abilitato a due fattori nel caso in cui non riesca ad accedere o a recuperarlo. Se non riesci a trovare una chiave SSH, PAT o un dispositivo su cui è stato precedentemente effettuato l’accesso a GitHub per recuperare il tuo account, è facile ricominciare da capo con un nuovo account GitHub.com e mantenere giustamente verde il grafico dei contributi.
Ulteriori informazioni sono disponibili in Post del blog di GitHub.