ATENCION DESARROLLADORES, GITHUB HACE OBLIGATORIO 2FA A PARTIR DE LA PROXIMA SEMANA

GitHub comenzará a exigir a los desarrolladores activos que habiliten la autenticación de dos factores (2FA) en sus cuentas a partir de la próxima semana, el 13 de marzo.

Una vez ampliado a toda la base de usuarios de la empresa, el requisito de inscripción en 2FA ayudará a proteger las cuentas de más de 100 millones de usuarios .

La implementación gradual comenzará la próxima semana con GitHub llegando a grupos más pequeños de administradores y desarrolladores por correo electrónico y se acelerará a medida que se acerque el final del año para garantizar que la incorporación sea perfecta y que los usuarios tengan tiempo para resolver cualquier problema.

“GitHub ha diseñado un proceso de implementación destinado tanto a minimizar las interrupciones inesperadas y la pérdida de productividad para los usuarios como a evitar los bloqueos de cuentas”, dijo el gerente de productos del personal, Hirsch Singhal, y la directora de marketing de productos, Laura Paine.

“Se les pedirá a los grupos de usuarios que habiliten 2FA con el tiempo, cada grupo seleccionado en función de las acciones que han realizado o el código al que han contribuido”.

Si se selecciona su cuenta para la inscripción, recibirá un correo electrónico y verá un anuncio en GitHub.com que le solicitará que se inscriba en el programa de autenticación de dos factores (2FA).

Luego, tendrá 45 días para configurar 2FA en su cuenta, durante los cuales podrá seguir usando su cuenta de GitHub como de costumbre, a excepción de recordatorios ocasionales.

GitHub lo mantendrá actualizado sobre la fecha límite de habilitación y, una vez que haya pasado, se le pedirá que habilite 2FA la primera vez que acceda a GitHub.com y se le bloqueará el acceso a algunas funciones hasta que se active 2FA.

​Esto sigue a dos anuncios anteriores de mayo y diciembre de que todos los desarrolladores que aporten código en la plataforma deberán habilitar 2FA para fines de 2023.

GitHub proporciona instrucciones detalladas sobre cómo configurar 2FA para su cuenta y recuperar cuentas cuando pierde las credenciales de 2FA.

Los desarrolladores pueden usar una o más opciones de 2FA, incluidas claves de seguridad físicas, claves de seguridad virtuales integradas en dispositivos móviles como teléfonos inteligentes y computadoras portátiles, aplicaciones de autenticación de contraseña de un solo uso basada en tiempo (TOTP) o la aplicación GitHub Mobile (después de configurar TOTP o SMS 2FA).

Aunque 2FA basado en mensajes de texto también es una opción ( en algunos países ), GitHub insta a los usuarios a cambiar a claves de seguridad o aplicaciones TOTP porque los actores de amenazas pueden eludir SMS 2FA o robar tokens de autenticación SMS 2FA para secuestrar las cuentas de los desarrolladores.

Asegurar la cadena de suministro de software

Habilitar 2FA en las cuentas de GitHub aumenta la resiliencia contra la apropiación de cuentas al bloquear los intentos de usar contraseñas reutilizadas o credenciales robadas en ataques de secuestro.

Este es el último paso de la compañía para asegurar la cadena de suministro de software al alejarse de la autenticación básica basada en contraseña.

Anteriormente, la plataforma de alojamiento de código implementó la verificación de dispositivos basada en correo electrónico y eliminó gradualmente las contraseñas de cuenta para la autenticación de operaciones de Git.

Además, GitHub deshabilitó la autenticación de contraseña a través de la API REST en noviembre de 2020 e introdujo la compatibilidad con las claves de seguridad FIDO2 para proteger las operaciones de SSH Git en mayo de 2021.

A lo largo de los años, GitHub ha mejorado las medidas de seguridad de su cuenta al incorporar autenticación de dos factores , alertas de inicio de sesión , bloqueo del uso de contraseñas comprometidas y soporte para WebAuthn .