A partir de la próxima semana, GitHub requerirá que los desarrolladores activos en el sitio habiliten al menos una forma de autenticación de dos factores (2FA). La iniciativa de seguridad comenzó el 13 de marzo con grupos especialmente seleccionados de desarrolladores y administradores.
Hasta fin de año, GitHub comenzará a notificar a los seleccionados sobre el requisito de utilizar la autenticación de dos factores. A medida que avanza el año, más y más usuarios se verán obligados a habilitar la autenticación de dos factores.
Al lanzar las nuevas medidas de seguridad, GitHub afirma:
«El 13 de marzo, comenzaremos oficialmente a implementar nuestra iniciativa para exigir a todos los desarrolladores que aporten código a GitHub.com que habiliten una o más formas de autenticación de dos factores (2FA) para fines del año 2023» .
GitHub mostrará un banner de notificación en las cuentas seleccionadas para participar en el programa, notificándoles la necesidad de habilitar la autenticación de dos factores dentro de los 45 días. El día de la fecha límite, a las personas que hayan sido seleccionadas, pero que aún no hayan completado el formulario de activación de 2FA se les solicitará diariamente que lo hagan.
Si la autenticación de dos factores no está habilitada una semana después de la fecha límite, se eliminará el acceso a la función de GitHub hasta que esté habilitada.
GitHub dice que está realizando varios cambios en la «experiencia» 2FA para facilitar la transición:
- Validación del segundo factor después de la configuración de 2FA.
Con ello se pretende que los usuarios de GitHub que hayan configurado 2FA vean un mensaje después de 28 días pidiéndoles que ejecuten 2FA y confirmen la configuración del segundo factor. Este aviso ayuda a evitar el bloqueo de la cuenta debido a aplicaciones de autenticación mal configuradas (aplicaciones TOTP). Si no se puede realizar la autenticación 2FA, un atajo permitirá restablecer la configuración de autenticación 2FA sin que se bloquee su cuenta. - Inscribir segundos factores
Con este cambio, se pretende que no sea implementado un solo método 2FA, sí que no que se pueda tener más, ademas de que estos más accesibles para garantizar que siempre se tenga acceso a la cuenta.Ahora puede tener una aplicación de autenticación (TOTP) y un número de SMS registrado en su cuenta. Si bien recomendamos usar claves de seguridad y su aplicación TOTP a través de SMS, permitir ambos métodos al mismo tiempo ayuda a reducir el bloqueo de la cuenta al proporcionar otra opción 2FA accesible y comprensible que los desarrolladores pueden activar;
- Eleccion del método 2FA preferido.
La nueva opción preferida le permite al usuario el poder configurar su método 2FA preferido para iniciar sesión en la cuenta y usar el aviso de sudo, por lo que su método preferido siempre se pregunta primero al iniciar sesión. Se puede elegir entre TOTP, SMS, claves de seguridad o GitHub Mobile como método 2FA preferido. Ademas de que se recomienda encarecidamente el uso de claves de seguridad y TOTP siempre que sea posible. SMS 2FA no ofrece el mismo nivel de protección y ya no es recomendado por NIST 800-63B. Los métodos más potentes disponibles son los que admiten el estándar de autenticación segura WebAuthn. Estos métodos incluyen claves de seguridad físicas, - Desvinculacion del correo electrónico en caso del bloqueo 2FA.
Dado que las cuentas en GitHub deben tener una dirección de correo electrónico única, los usuarios bloqueados tienen dificultades para crear una nueva cuenta con su dirección de correo electrónico preferida, a la que apuntan todas sus confirmaciones. Con esta función, ahora dr puede desvincular su dirección de correo electrónico de una cuenta de GitHub de dos factores en caso de que no pueda iniciar sesión o recuperarla. Si no puede encontrar una clave SSH, PAT o un dispositivo previamente conectado a GitHub para recuperar su cuenta, es fácil comenzar de cero con una nueva cuenta de GitHub.com y mantener su gráfico de contribución en verde.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.
Fuente: desdelinux
