GitHub registra aumento de 54% em adoção de 2FA por contribuidores ativos na plataforma
Embora a tecnologia tenha avançado para combater o avanço de ameaças de segurança sofisticadas, acertar os conceitos básicos de segurança ainda é a chave para prevenir o próximo ciberataque. E atrelado aos esforços para garantir a segurança do ecossistema de software, está o de proteger os desenvolvedores que constroem e mantêm o software do qual todos dependemos. Há dois anos, o GitHub decidiu elevar o padrão de segurança da cadeia de suprimentos abordando o primeiro elo, que é a segurança de quem, de fato, desenvolve.
Para o CSO e SVP de Engenharia do GitHub Mike Hanley, a empresa está em uma posição única para ajudar a melhorar a segurança da cadeia de suprimentos de software. “Por mais que a autenticação multifator continue sendo uma das melhores defesas contra o roubo de contas e comprometimento da cadeia de suprimentos, estabelecemos uma meta ambiciosa de exigir que os usuários que contribuem com código no GitHub.com habilitassem uma ou mais formas de autenticação de dois fatores (2FA) até o final de 2023”, explica Hanley.
Ao longo de 2022 e início de 2023, o GitHub investiu em pesquisa e design em torno da implementação desses requisitos, buscando otimizar uma experiência sem interrupções para desenvolvedores, seguida por uma implementação gradual para garantir a integração bem-sucedida dos usuários.
Entre os destaques, o GitHub observou um aumento significativo na adoção de 2FA na plataforma, com foco em usuários que têm impacto mais crítico na cadeia de suprimentos de software. Desde a implementação do 2FA obrigatório em março de 2023, foi observado uma taxa de adesão de quase 95% entre os contribuidores de código que receberam o requisito. Essa movimentação levou a um aumento de 54% na adoção de 2FA entre todos os contribuidores ativos no GitHub.
Autenticação mais forte e confiável
Um ponto crucial para esta iniciativa foi incentivar os usuários a adotarem meios mais seguros de 2FA, especialmente passkeys, que atualmente oferecem a melhor combinação de segurança e usabilidade. Desde o lançamento de passkeys no beta público em julho de 2023, quase 1,4 milhão de passkeys foram registradas no GitHub, superando rapidamente outros tipos de 2FA suportadas pelo Webauthn em uso diário.
“Apesar da taxa de sucesso das passkeys, o GitHub continua oferecendo flexibilidade, confiabilidade e segurança nas formas como os desenvolvedores ao redor do mundo podem se autenticar na plataforma, especialmente para aquelas que podem não ter acesso a essa tecnologia”, diz o CSO Mike Hanley. O SMS seguiu como uma opção de 2FA para aqueles que podem não conseguir adotar outros fatores, mas foram realizadas escolhas de design intencionais nos fluxos de integração do 2FA para incentivar os usuários a adotar alternativas mais seguras sempre que possível. Este trabalho reduziu a participação geral do SMS como segundo fator em quase 25% entre o início de 2023 e o início de 2024. “Prevemos um futuro onde as passkeys sejam a primeira escolha para a maioria das pessoas na plataforma GitHub”, afirma o executivo.
Além disso, como resultado da experiência de inscrição aprimorada e lançamento das passkeys, os dados mostraram que os usuários têm 47% mais chances de configurar dois ou mais formas de 2FA. Cada fator adicional torna muito menos provável que um usuário específico perca todos os seus fatores e acabe bloqueado, resultando em uma experiência do usuário mais tranquila e confiável.
Experiência do usuário e suporte
Mike Hanley ressalta que reforçar a segurança das contas na plataforma não poderia afetar a experiência do usuário, por isso o GitHub investiu em várias melhorias, incluindo fluxos de integração de 2FA atualizados e 2FA no GitHub mobile. O resultado disso foi uma redução de um terço nos tickets de suporte relacionados ao 2FA.
Além disso, otimizações adicionais nos fluxos de trabalho internos e automação para as equipes de suporte levaram a uma redução de 54% nos tickets de suporte de recuperação de conta do 2FA que exigem intervenção humana significativa. Hoje, mais de 75% dos tickets de recuperação de conta passam pelo fluxo de trabalho do produto, que coleta detalhes de recuperação dos usuários e verifica automaticamente os fatores de risco. Esta coleta de dados e verificação reduz significativamente o tempo necessário para as equipes de suporte revisarem essas tentativas de recuperação, permitindo que os usuários bloqueados voltem com segurança às suas contas mais rápido e permitindo que o GitHub escale a inscrição em 2FA para milhões de usuários.
Também foi introduzida uma verificação de 2FA, que ocorre 28 dias após a configuração do 2FA, para garantir que os usuários tenham a oportunidade de verificar sua configuração. Esta verificação foi uma segurança adicional que ajudou 25% dos usuários a reconfigurar com sucesso suas contas caso tenham cometido um erro ou perdido um fator, evitando assim o bloqueio da conta.
Impacto no ecossistema
O foco principal da iniciativa de 2FA era garantir a segurança de quem desenvolve no GitHub.com, mas a plataforma também quis inspirar mais organizações a adotarem a exigência de 2FA. “Cada conta de usuário com 2FA habilitado com sucesso é um vetor a menos para os atacantes comprometerem organizações ou softwares de código aberto”, explica Mike Hanley. Nos últimos dois anos, RubyGems, PyPI e AWS se juntaram aos esforços para impulsionar o aumento do uso de 2FA e garantir a segurança do ecossistema compartilhado e cadeia de suprimentos de software.
De olho no futuro
Ainda há um trabalho importante em toda a indústria para apoiar os usuários que podem não ter acesso a um celular ou controle sobre o software do computador que usam para adotar o 2FA. “Como uma plataforma global, acreditamos que todos devem ter acesso a ferramentas que tornem o desenvolvimento de software mais fácil e seguro. Nosso objetivo é encontrar soluções para proteger os desenvolvedores, os projetos em que estão trabalhando e as comunidades em que participam sem restringir aqueles com configurações ou ambientes diferentes ao redor do mundo”, diz Hanley.
Os próximos passos da plataforma incluem avaliar como exigir que ainda mais usuários do GitHub.com se inscrevam em 2FA durante 2024, enquanto continuam a monitorar e melhorar a experiência do usuário. Alguns recursos adicionais de segurança de conta estão sendo estudados, como sessão e vinculação de token, que permitirão que desenvolvedores e suas organizações gerenciem melhor o risco de comprometimento da conta, com ou sem 2FA. A empresa também quer continuar a impulsionar a adoção dos fatores mais seguros disponíveis para as pessoas na plataforma, como as passkeys, e ajudá-los a adotar tipos de autenticadores mais seguros. Para Mike Hanley, tornar a segurança algo fácil e eficaz continua sendo uma prioridade máxima já que “segurança que não é usável não é segurança de forma alguma”, completa ele.
Desenvolvedores que quiserem reforçar a segurança de suas contas no GitHub podem habilitar o 2FA, adotar passkeys ou solicitar 2FA para sua organização.
*Fonte: GitHub
