Elevando o nível de segurança de software: GitHub 2FA começa a valer em 13 de março

A plataforma de software exigirá que todos que contribuem com código habilitem uma ou mais formas de autenticação de dois fatores (2FA) até o final de 2023

No ano passado, o GitHub anunciou o compromisso de exigir que todos que contribuem com código na plataforma habilitem a autenticação de dois fatores (2FA) até o final de 2023. Essa medida passará a valer efetivamente a partir de 13 de março, quando a plataforma começará a contactar alguns grupos de pessoas desenvolvedoras e administradoras para notificá-las sobre o requisito de inscrição no 2FA. 

“Esse lançamento gradual nos permitirá garantir que os usuários sejam capazes de se integrar com êxito e fazer os ajustes necessários antes de escalarmos para grupos maiores à medida que o ano avança”, explica Hirsch Singhal, Gerente de Produtos de equipe no GitHub.

Segundo ele, o GitHub é central para a cadeia de suprimentos de software, e protegê-la começa com o desenvolvedor. Por isso, a iniciativa 2FA faz parte de um esforço em toda a plataforma para proteger o desenvolvimento de software, melhorando a segurança das contas: “as contas dos desenvolvedores são alvos frequentes de engenharia social e aquisição de conta (ATO). Proteger desenvolvedores e consumidores do ecossistema de open source desses tipos de ataques é o primeiro e mais importante passo para proteger a cadeia de suprimentos“.

O Gerente de Produtos explica ainda que, as contas selecionadas para inscrição receberão uma notificação por e-mail e verão também um banner ao acessarem o GitHub.com, solicitando que se inscrevam. A pessoa notificada terá então um período de 45 dias para configurar a autenticação de dois fatores (2FA) em sua conta, durante o qual nada mudará em relação ao uso do GitHub, exceto pelos lembretes. O GitHub informará quando o prazo para ativação estiver se aproximando e, uma vez passado, será preciso ativar o 2FA na primeira vez em que acessar o GitHub.com, sendo possível adiar essa notificação por até uma semana – após esse prazo, o acesso à conta será limitado. “O período de adiamento começa somente quando o usuário faz login após o prazo, portanto, se estiver de férias ou fora do escritório, ainda terá uma semana para configurar o 2FA quando voltar ao trabalho”, informa Hirsch Singhal.

Contas que não estiverem em um grupo de inscrição antecipada, também podem antecipar sua inscrição no 2FA, basta seguir algumas etapas fáceis clicando aqui.

O que esperar ao habilitar o 2FA

O GitHub projetou um processo de implantação destinado a minimizar interrupções inesperadas e perda de produtividade, além de evitar bloqueios de contas. Grupos de usuários serão solicitados a ativar o 2FA gradualmente, e cada grupo será selecionado com base nas ações que realizaram ou no código para o qual contribuíram.

1. Contas que fazem parte de um grupo de habilitação de 2FA pendente, receberão uma notificação por e-mail informando sobre o prazo para habilitar o 2FA, bem como informações sobre como configurar o 2FA e práticas recomendadas. Esse e-mail será enviado aproximadamente 45 dias antes do prazo. Quando a linha do tempo do grupo começar, as contas que fazem dele começarão a ver banners de lembrete semanais no GitHub.com, que também o guiarão para o processo de ativação do 2FA. Também serão enviados e-mails ocasionais notificando sobre o próximo prazo de ativação do 2FA.
2. Depois que o prazo de ativação terminar, a pessoa será solicitada a ativar o 2FA na primeira vez que acessar o GitHub.com todos os dias. A pessoa pode adiar esse prompt uma vez por dia por até uma semana para ter flexibilidade, mas depois dessa semana a pessoa não poderá acessar o GitHub.com até ativar o 2FA. Este período de adiamento de uma semana começa somente quando a pessoa acessa o GitHub depois do prazo, então, se a pessoa estiver de férias, não precisa se preocupar – não será bloqueada(o/a) do GitHub.com.
3. Vinte e oito (28) dias após a pessoa habilitar o 2FA, será solicitado que realize uma verificação de 2FA ao usar o GitHub.com, o que valida se sua configuração 2FA está funcionando corretamente. Usuários previamente conectados poderão reconfigurar o 2FA se tiverem configurado incorretamente ou perdido o segundo fator durante a adesão. 

Nos casos de projetos que sejam lançados ou a pessoa desenvolvedora se torne mantenedora de um repositório crítico, esta poderá de repente se qualificar para um grupo que já começou sua linha do tempo de inscrição. Se isso acontecer, a pessoa iniciará seu período de 45 dias no dia seguinte, seguindo a mesma linha do tempo descrita acima.

Como o GitHub tornou a segurança das contas mais fácil com o 2FA

De acordo com Laura Paine, Diretora de Marketing de Produto, a plataforma quer fazer com que inscrever contas no 2FA seja o mais fácil possível, usando métodos confiáveis e seguros para que as pessoas desenvolvedoras sempre tenham acesso às contas (e ninguém mais). Ela explica que para se preparar para este programa, a equipe esteve ocupada aprimorando essa experiência. Aqui estão alguns dos destaques:

• Validação de segundo fator após a configuração de 2FA: contas do GitHub.com que configuram a autenticação de dois fatores receberão um pedido após 28 dias, solicitando que executem o 2FA e confirmem suas configurações de segundo fator. Essa solicitação ajuda a evitar o bloqueio de conta devido a aplicativos autenticadores mal configurados (aplicativos TOTP). Caso não seja possível executar o 2FA, será apresentado um atalho que permite redefinir a configuração 2FA sem bloqueio de conta.
  
  
• Configure os dois fatores: ter métodos de 2FA mais acessíveis é importante para garantir acesso contínuo às contas. Por isso é possível ter um aplicativo autenticador (TOTP) e um número de SMS registrado em sua conta ao mesmo tempo. “Embora recomendamos o uso de chaves de segurança e um aplicativo TOTP ao invés de SMS, permitir os dois ao mesmo tempo ajuda a reduzir o bloqueio de conta, fornecendo outra opção de 2FA acessível e compreensível que as pessoas desenvolvedoras possam habilitar”, comenta Paine.
  
  
• Escolha seu método de 2FA preferido: A nova opção preferencial permite que a pessoa defina o método preferido de 2FA para login de conta e uso do prompt sudo, para que sempre seja solicitado o método favorito primeiro durante o login. A pessoa pode escolher entre TOTP, SMS, chaves de segurança ou GitHub mobile como seu método preferido de 2FA. O GitHub recomenda fortemente o uso de chaves de segurança e aplicativos TOTP sempre que possível. Isso porque autenticações baseadas em SMS não oferecem o mesmo nível de proteção, não sendo mais recomendados de acordo com a resolução do Instituto Nacional de Padrões e Tecnologia dos EUA (NIST 800-63B). Atualmente, os métodos mais fortes amplamente disponíveis são aqueles que suportam o padrão de autenticação segura WebAuthn. Esses métodos incluem chaves físicas de segurança, bem como dispositivos pessoais que oferecem suporte a tecnologias como Windows Hello ou Face ID/Touch ID.
  
  
• Desvincule seu e-mail em caso de bloqueio do 2FA: como as contas no GitHub precisam ter um endereço de e-mail exclusivo, as pessoas bloqueadas têm dificuldade em criar uma nova conta usando seu endereço de e-mail preferido – aquele para o qual apontam todos os seus commits. Com este recurso, a pessoa agora pode desvincular seu endereço de e-mail de uma conta do GitHub habilitada para autenticação de dois fatores caso não consiga fazer login ou recuperá-lo. Se a pessoa não conseguir encontrar uma chave SSH, PAT ou um dispositivo que tenha sido conectado anteriormente ao GitHub para recuperar a conta, é fácil começar do zero com uma nova conta no GitHub.com e manter o gráfico de contribuições corretamente verde.

A Diretora de Marketing de Produto também adianta: “já estamos testando internamente as passkeys, que acreditamos combinarão facilidade de uso com autenticação forte e resistente a phishing”. Segundo ela, as pessoas desenvolvedoras podem ficar de olho para anúncio sobre quando essa funcionalidade estiver pronta.

Assegurar a cadeia de suprimentos de software é um esforço em equipe

O software open source é ubíquo, com 90% das empresas relatando que usam software open source em seus próprios softwares. O GitHub é uma parte crítica do ecossistema de open source, por isso leva a sério a garantia da segurança das contas. Autenticação forte e o uso de 2FA têm sido reconhecidos como boas práticas há muitos anos, por isso, o GitHub tem o dever de expandir essa melhor prática como parte da proteção da cadeia de suprimentos de software.

Mais importante ainda, no entanto, segundo  Laura Paine, é que não é possível melhorar a segurança da cadeia de suprimentos de software sem as pessoas desenvolvedoras. “Agradecemos antecipadamente pelo apoio de todos e por inscreverem suas contas do GitHub em 2FA para tornar o software open source mais seguro para todos”, finaliza. 

Fonte: GitHub