Por Mike Hanley
GitHub exigirá a todos los usuarios que contribuyan con código en GitHub.com que habiliten una o más formas de autenticación de dos factores (2FA) para finales de 2023.
La cadena de suministro de software comienza con el desarrollador. Las cuentas de los desarrolladores son objetivos frecuentes de la ingeniería social y de la apropiación de cuentas, y proteger a los desarrolladores de este tipo de ataques es el primer y más importante paso para asegurar la cadena de suministro. GitHub tiene un largo historial de protección de los desarrolladores a través de esfuerzos que incluyen la búsqueda e invalidación de contraseñas de usuario conocidas y comprometidas, ofreciendo un robusto soporte de claves de seguridad WebAuthn, e inscribiendo a todos los editores npm en la verificación de inicio de sesión mejorada. Hoy, como parte de un esfuerzo de toda la plataforma para asegurar el ecosistema de software a través de la mejora de la seguridad de las cuentas, estamos anunciando que GitHub requerirá que todos los usuarios que contribuyan con código en GitHub.com habiliten una o más formas de autenticación de dos factores (2FA) para finales de 2023.
GitHub exigirá a todos los usuarios que contribuyan con código en GitHub.com que habiliten una o más formas de autenticación de dos factores (2FA) para finales de 2023.
GitHub se compromete a garantizar que la seguridad de las cuentas no vaya en detrimento de la experiencia de los desarrolladores, y nuestro objetivo de finales de 2023 nos da la oportunidad de optimizarlo. A medida que los estándares evolucionen, seguiremos explorando activamente nuevas formas de autenticar a los usuarios de forma segura, incluyendo la autenticación sin contraseña. Los desarrolladores de todo el mundo pueden esperar más opciones para la autenticación y la recuperación de cuentas, junto con mejoras que ayuden a prevenir y recuperar las cuentas comprometidas.
Por qué son importantes la seguridad de las cuentas y la 2FA
En noviembre de 2021, GitHub se comprometió a realizar nuevas inversiones en la seguridad de las cuentas npm a raíz de las tomas de paquetes npm resultantes del compromiso de las cuentas de los desarrolladores sin 2FA activado. Seguimos introduciendo mejoras en la seguridad de las cuentas npm, y estamos igualmente comprometidos con la seguridad de las cuentas de los desarrolladores que utilizan GitHub.
La mayoría de las violaciones de seguridad no son producto de exóticos ataques de día cero, sino que implican ataques de menor coste como la ingeniería social, el robo o la filtración de credenciales y otras vías que proporcionan a los atacantes un amplio acceso a las cuentas de las víctimas y a los recursos a los que tienen acceso. Las cuentas comprometidas pueden utilizarse para robar código privado o introducir cambios maliciosos en ese código. Esto pone en riesgo no sólo a las personas y organizaciones asociadas a las cuentas comprometidas, sino también a cualquier usuario del código afectado. El potencial de impacto en el ecosistema de software más amplio y en la cadena de suministro es sustancial.
La mejor defensa contra esto es ir más allá de la autenticación básica basada en la contraseña. Ya hemos dado pasos en esta dirección al dejar de lado la autenticación básica para las operaciones de git y nuestra API y al requerir la verificación del dispositivo basada en el correo electrónico, además del nombre de usuario y la contraseña. La 2FA es una poderosa línea de defensa; sin embargo, a pesar del éxito demostrado, la adopción de la 2FA en el ecosistema del software sigue siendo baja en general. Hoy en día, sólo aproximadamente el 16,5% de los usuarios activos de GitHub y el 6,44% de los usuarios de npm utilizan una o más formas de 2FA.
En GitHub, creemos que nuestra posición única como hogar de todos los desarrolladores significa que tenemos tanto la oportunidad como la responsabilidad de elevar el nivel de seguridad en todo el ecosistema de desarrollo de software. Aunque estamos invirtiendo mucho en nuestra plataforma y en la industria en general para mejorar la seguridad general de la cadena de suministro de software, el valor de esa inversión es fundamentalmente limitado si no abordamos el riesgo continuo de que las cuentas se vean comprometidas. Nuestra respuesta a este desafío continúa hoy con nuestro compromiso de impulsar la mejora de la seguridad de la cadena de suministro mediante prácticas seguras para los desarrolladores individuales.
Empieza hoy mismo
Usuarios individuales
¿Quieres tener una ventaja? ¡Recientemente hemos lanzado 2FA para GitHub Mobile en iOS y Android! Haz clic aquí para aprender a configurar GitHub Mobile 2FA hoy mismo. Para configurar GitHub Mobile 2FA, necesitarás tener al menos otra forma de 2FA habilitada. Amplía el desplegable de abajo para saber más.
¿Busca una experiencia de clave de seguridad WebAuthn resistente al phishing u otras opciones?
Puede empezar aquí. Para apoyar la adopción de claves de seguridad, hemos distribuido claves de seguridad, como YubiKey, a los mantenedores de proyectos de código abierto críticos y hemos almacenado claves de seguridad en la tienda de GitHub. SoloKeys o Titan Security Keys también son buenas opciones.
Más documentación sobre GitHub.com 2FA está disponible aquí. Para configurar la 2FA para las cuentas de npm, mira esto.
No olvides guardar tus códigos de recuperación y configurar también uno o varios métodos de recuperación de cuentas.
Organizaciones y empresas
Los propietarios de organizaciones y empresas de GitHub.com también pueden exigir la 2FA a los miembros de sus organizaciones y empresas. Ten en cuenta que los miembros y propietarios de organizaciones y empresas que no utilicen la 2FA serán eliminados de la organización o empresa cuando se activen estos ajustes.