33Giga Tecnologia para pessoas

Notícias

Mais segurança: GitHub 2FA começa a valer a partir de hoje

  • Créditos/Foto:Divulgação/GitHub
  • 13/Março/2023
  • Da Redação, com assessoria

No ano passado, o GitHub anunciou o compromisso de exigir que todos que contribuem com código na plataforma habilitem a autenticação de dois fatores (2FA) até o final de 2023. Essa medida passará a valer efetivamente a partir hoje (13), quando a empresa começará a contatar alguns grupos de desenvolvedores e administradores para notificá-las sobre o requisito de inscrição no GitHub 2FA.

Quer ficar por dentro do mundo da tecnologia e ainda baixar gratuitamente nosso e-book Manual de Segurança na Internet? Clique aqui e assine a newsletter do 33Giga

“Esse lançamento gradual nos permitirá garantir que os usuários sejam capazes de se integrar com êxito e fazer os ajustes necessários antes de escalarmos para grupos maiores à medida que o ano avança”, explica Hirsch Singhal, gerente de produtos de equipe no GitHub.

Segundo ele, o GitHub é central para a cadeia de suprimentos de software, e protegê-la começa com o desenvolvedor. Por isso, a iniciativa GitHub 2FA faz parte de um esforço em toda a plataforma para proteger o desenvolvimento de software, melhorando a segurança dos perfis. “As contas dos desenvolvedores são alvos frequentes de engenharia social e aquisição de conta (ATO). Proteger desenvolvedores e consumidores do ecossistema de open source desses tipos de ataques é o primeiro e mais importante passo para proteger a cadeia de suprimentos”, diz.

O profissional explica ainda que, as contas selecionadas para inscrição receberão uma notificação por e-mail e verão também um banner ao acessarem o GitHub, solicitando que se inscrevam. A pessoa notificada terá então um período de 45 dias para configurar a autenticação de dois fatores em sua conta, durante o qual nada mudará em relação ao uso da plataforma, exceto pelos lembretes. O GitHub informará quando o prazo para ativação estiver se aproximando e, uma vez passado, será preciso ativar o 2FA na primeira vez em que acessar o GitHub.com, sendo possível adiar essa notificação por até uma semana – após esse prazo, o acesso à conta será limitado. “O período de adiamento começa somente quando o usuário faz login após o prazo. Portanto, se estiver de férias ou fora do escritório, ainda terá uma semana para configurar o 2FA quando voltar ao trabalho”, informa Hirsch.

Contas que não estiverem em um grupo de inscrição antecipada, também podem antecipar sua inscrição no GitHub 2FA, basta seguir algumas etapas fáceis clicando aqui.

O que esperar ao habilitar o GitHub 2FA

O GitHub projetou um processo de implantação destinado a minimizar interrupções inesperadas e perda de produtividade, além de evitar bloqueios de contas. Grupos de usuários serão solicitados a ativar o GitHub 2FA gradualmente, e cada grupo será selecionado com base nas ações que realizaram ou no código para o qual contribuíram.

  1. Contas que fazem parte de um grupo de habilitação de GitHub 2FA pendente receberão uma notificação por e-mail informando sobre o prazo para habilitação, bem como informações sobre como configurar o 2FA e práticas recomendadas. Esse e-mail será enviado aproximadamente 45 dias antes do prazo. Quando a linha do tempo do grupo começar, as contas que fazem parte dele começarão a ver banners de lembrete semanais no GitHub.com, que também o guiarão para o processo de ativação. Também serão enviados e-mails ocasionais notificando sobre o próximo prazo de ativação do 2FA.
  2. Depois que o prazo de ativação terminar, a pessoa será solicitada a ativar o GitHub 2FA na primeira vez que acessar o site, todos os dias. O usuário pode adiar esse prompt uma vez por dia por até uma semana para ter flexibilidade, mas depois dessa semana não poderá acessar o GitHub.com até ativar o 2FA. Este período de adiamento de uma semana começa somente quando a pessoa acessa o GitHub depois do prazo, então, se o indivíduo estiver de férias, não precisa se preocupar – não será bloqueada.
  3. 28 dias após a pessoa habilitar o GitHub 2FA, será solicitado que realize uma verificação ao usar o GitHub.com, o que valida se sua configuração 2FA está funcionando corretamente. Usuários previamente conectados poderão reconfigurar o 2FA se tiverem configurado incorretamente ou perdido o segundo fator durante a adesão.

Nos casos de projetos que sejam lançados ou o desenvolvedor se torne mantenedor de um repositório crítico, esta poderá, de repente, se qualificar para um grupo que já começou sua linha do tempo de inscrição. Se isso acontecer, a pessoa iniciará seu período de 45 dias no dia seguinte, seguindo a mesma linha do tempo descrita acima.

Quer saber tudo sobre Universo Sugar? Clique aqui e compre o e-book O Guia dos Sugar Daddy & Sugar Babies por apenas R$ 10

Como o GitHub tornou a segurança das contas mais fácil com o 2FA

De acordo com Laura Paine, diretora de marketing de produto do GitHub, a plataforma quer fazer com que inscrever contas no GitHub 2FA seja o mais fácil possível, usando métodos confiáveis e seguros para que os desenvolvedores sempre tenham acesso às contas (e ninguém mais). Ela explica que para se preparar para este programa, a equipe esteve ocupada aprimorando a experiência. Aqui estão alguns dos destaques:

  • Validação de segundo fator após a configuração de 2FA: contas do GitHub.com que configuram a autenticação de dois fatores receberão um pedido após 28 dias, solicitando que executem o 2FA e confirmem suas configurações de segundo fator. Essa solicitação ajuda a evitar o bloqueio de conta devido a aplicativos autenticadores mal configurados (aplicativos TOTP). Caso não seja possível executar o 2FA, será apresentado um atalho que permite redefinir a configuração 2FA sem bloqueio de conta.
  • Configure os dois fatores: ter métodos de 2FA mais acessíveis é importante para garantir acesso contínuo às contas. Por isso é possível ter um aplicativo autenticador (TOTP) e um número de SMS registrado em sua conta ao mesmo tempo. “Embora recomendamos o uso de chaves de segurança e um aplicativo TOTP em vez de SMS, permitir os dois ao mesmo tempo ajuda a reduzir o bloqueio de conta, fornecendo outra opção de 2FA acessível e compreensível que os desenvolvedores possam habilitar”, comenta Laura.
  • Escolha seu método de 2FA preferido: A nova opção preferencial permite que a pessoa defina o método preferido de 2FA para login de conta e uso do prompt sudo, para que sempre seja solicitado o método favorito primeiro durante o login. O usuário pode escolher entre TOTP, SMS, chaves de segurança ou GitHub mobile. A empresa recomenda fortemente o uso de chaves de segurança e aplicativos TOTP sempre que possível. Isso porque autenticações baseadas em SMS não oferecem o mesmo nível de proteção, não sendo mais indicados de acordo com a resolução do Instituto Nacional de Padrões e Tecnologia dos EUA (NIST 800-63B). Atualmente, os métodos mais fortes amplamente disponíveis são aqueles que suportam o padrão de autenticação segura WebAuthn. Esses métodos incluem chaves físicas de segurança, bem como dispositivos pessoais que oferecem suporte a tecnologias como Windows Hello ou Face ID e Touch ID.
  • Desvincule seu e-mail em caso de bloqueio do GitHub 2FA: como as contas no GitHub precisam ter um endereço de e-mail exclusivo, as pessoas bloqueadas têm dificuldade em criar um novo perfil usando seu endereço de e-mail preferido – aquele para o qual apontam todos os seus commits. Com este recurso, o usuário agora pode desvincular seu endereço de e-mail de uma conta do GitHub habilitada para autenticação de dois fatores caso não consiga fazer login ou recuperá-lo. Se a pessoa não conseguir encontrar uma chave SSH, PAT ou um dispositivo que tenha sido conectado anteriormente ao GitHub para recuperar a conta, é fácil começar do zero com uma nova conta no GitHub.com e manter o gráfico de contribuições corretamente verde.

“Já estamos testando internamente as passkeys, que acreditamos combinarão facilidade de uso com autenticação forte e resistente a phishing”, adianta a diretora de marketing de produto . Segundo ela, os desenvolvedores podem ficar de olho para anúncio sobre quando essa funcionalidade estiver pronta.

Assegurar a cadeia de suprimentos de software é um esforço em equipe

O software open source é ubíquo, com 90% das empresas relatando que usam software open source em seus próprios softwares. O GitHub é uma parte crítica do ecossistema de open source, por isso leva a sério a garantia da segurança das contas. Autenticação forte e o uso de 2FA têm sido reconhecidos como boas práticas há muitos anos, por isso, o GitHub tem o dever de expandir essa melhor prática como parte da proteção da cadeia de suprimentos de software.

Mais importante ainda, no entanto, segundo Laura, é que não é possível melhorar a segurança da cadeia de suprimentos de software sem os desenvolvedores. “Agradecemos antecipadamente pelo apoio de todos e por inscreverem suas contas no GitHub 2FA para tornar o software open source mais seguro para todos”, finaliza.

Quer investir em criptomoedas de forma confiável? Clique aqui e compre na Bit2Me