GitHub ha anunciado que pronto implementará el uso obligatorio de autenticación de dos factores (2FA) en las cuentas de los desarrolladores.
Inicialmente, la plataforma de desarrollo de software enviará correos electrónicos a pequeños grupos de administradores y desarrolladores, notificándoles el cambio en sus cuentas, antes de que toda su sólida base de 100 millones de usuarios se inscriba en 2FA para fines de año.
«GitHub ha diseñado un proceso de implementación destinado tanto a minimizar las interrupciones inesperadas y la pérdida de productividad para los usuarios como a evitar los bloqueos de cuentas», dijo el gerente de productos del personal, Hirsch Singhal, y la directora de marketing de productos, Laura Paine, en una publicación de blog conjunta. (se abre en una pestaña nueva) en el sitio de la empresa.
Impulsando la seguridad
«Se les pedirá a los grupos de usuarios que habiliten 2FA con el tiempo, cada grupo seleccionado en función de las acciones que han realizado o el código al que han contribuido».
Una vez que un usuario recibe el correo electrónico 2FA, tendrá 45 días para configurarlo en su cuenta.
Si los usuarios aún no lo han activado después de este punto, se les bloqueará la funcionalidad completa de su cuenta hasta que hayan configurado 2FA. Sin embargo, para evitar sorpresas, GitHub mantendrá a los usuarios actualizados sobre cuánto tiempo les queda.
GitHub anunció previamente en mayo y diciembre de 2022 que 2FA estaría disponible pronto, y para preparar aún más a sus usuarios, también publicó una guía sobre cómo configurar 2FA (se abre en una pestaña nueva) y como recuperar (se abre en una pestaña nueva) su cuenta si pierde su dispositivo 2FA.
2FA es un tipo de autenticación de múltiples factores, una capa adicional de seguridad para asegurarse de que realmente es usted quien accede a su cuenta con su nombre de usuario y contraseña. Se envía un código a otro de sus dispositivos, generalmente su teléfono inteligente, que ingresa después de ingresar sus datos de inicio de sesión para autenticar su identidad.
Para la mayoría de los servicios que usan 2FA, el código se puede enviar por SMS o una aplicación de autenticación. Además de estos, GitHub también admitirá 2FA a través de claves de seguridad físicas y sus propias aplicaciones móviles GitHub iOS y Android.
Sin embargo, GitHub no recomienda que los usuarios opten por SMS 2FA, ya que es menos seguro que otras formas, ya que los mensajes pueden ser interceptados y los tokens de autenticación generados pueden ser robados.
El movimiento para hacer cumplir 2FA sigue los esfuerzos recientes de GitHub para hacer que su servicio sea más seguro. Se revocó la autenticación de las operaciones de Git a través de la contraseña de la cuenta de un usuario (se abre en una pestaña nueva) en 2019, en lugar de requerir el uso de tokens de autenticación como claves SSH, que luego podrían protegerse aún más con claves de seguridad a partir de 2021 (se abre en una pestaña nueva).