GitHub akan mulai mewajibkan pengembang aktif untuk mengaktifkan autentikasi dua faktor (2FA) di akun mereka mulai minggu depan, pada 13 Maret.
Setelah diperluas ke seluruh basis pengguna perusahaan, the persyaratan pendaftaran 2FA akan membantu mengamankan rekening lebih dari 100 juta pengguna.
Peluncuran bertahap akan dimulai minggu depan dengan GitHub menjangkau kelompok administrator dan pengembang yang lebih kecil melalui email dan akan dipercepat menjelang akhir tahun untuk memastikan bahwa orientasi lancar dan pengguna memiliki waktu untuk menyelesaikan masalah apa pun.
“GitHub telah merancang proses peluncuran yang dimaksudkan untuk meminimalkan gangguan tak terduga dan hilangnya produktivitas bagi pengguna serta mencegah penguncian akun,” kata Manajer Produk Staf Hirsch Singhal dan Direktur Pemasaran Produk Laura Paine.
“Grup pengguna akan diminta untuk mengaktifkan 2FA dari waktu ke waktu, setiap grup dipilih berdasarkan tindakan yang telah mereka ambil atau kode yang telah mereka kontribusikan.”
Jika akun Anda dipilih untuk pendaftaran, Anda akan menerima email dan melihat spanduk di GitHub.com yang meminta Anda untuk mendaftar dalam program autentikasi dua faktor (2FA).
Kemudian, Anda memiliki waktu 45 hari untuk mengonfigurasi 2FA di akun Anda, selama itu Anda dapat tetap menggunakan akun GitHub Anda seperti biasa, kecuali untuk pengingat sesekali.
GitHub akan terus mengabari Anda tentang batas waktu pengaktifan, dan setelah berlalu, Anda akan diminta untuk mengaktifkan 2FA saat pertama kali mengakses GitHub.com dan diblokir agar tidak mengakses beberapa fitur hingga 2FA diaktifkan.
Ini mengikuti dua pengumuman sebelumnya dari Mungkin Dan Desember bahwa semua pengembang yang menyumbangkan kode pada platform akan diminta untuk mengaktifkan 2FA pada akhir tahun 2023.
GitHub memberikan instruksi terperinci tentang mengkonfigurasi 2FA untuk akun Anda dan memulihkan akun saat kehilangan kredensial 2FA.
Pengembang dapat menggunakan satu atau lebih opsi 2FA, termasuk kunci keamanan fisik, kunci keamanan virtual yang terpasang di perangkat seluler seperti smartphone dan laptop, aplikasi autentikator Kata Sandi Satu Kali (TOTP) Berbasis Waktu, atau aplikasi GitHub Mobile (setelah mengonfigurasi TOTP atau SMS 2FA).
Meskipun 2FA berbasis pesan teks juga merupakan opsi (di beberapa negara), GitHub mendesak pengguna untuk beralih ke kunci keamanan atau aplikasi TOTP karena pelaku ancaman dapat melewati SMS 2FA atau mencuri token autentikasi SMS 2FA untuk membajak akun pengembang.
Mengamankan rantai pasokan perangkat lunak
Mengaktifkan 2FA pada akun GitHub meningkatkan ketahanan terhadap pengambilalihan akun dengan memblokir upaya untuk menggunakan kata sandi yang digunakan kembali atau kredensial yang dicuri dalam serangan pembajakan.
Ini adalah langkah terbaru perusahaan untuk mengamankan rantai pasokan perangkat lunak dengan beralih dari autentikasi dasar berbasis kata sandi.
Sebelumnya, platform hosting kode diimplementasikan verifikasi perangkat berbasis email Dan menghapus kata sandi akun untuk otentikasi operasi Git.
Selain itu, GitHub otentikasi kata sandi yang dinonaktifkan melalui REST API kembali pada November 2020 dan diperkenalkan dukungan untuk kunci keamanan FIDO2 untuk mengamankan operasi SSH Git pada Mei 2021.
Selama bertahun-tahun, GitHub telah meningkatkan langkah-langkah keamanan akunnya dengan menggabungkan autentikasi dua faktor, peringatan masuk, memblokir penggunaan kata sandi yang disusupidan menyediakan dukungan untuk WebAuthn.
