GitHub ha annunciato l'obbligo dell'autenticazione a due fattori per i propri utenti: a partire dal 19 gennaio gli utilizzatori della piattaforma dovranno abilitare la 2FA per poter continuare a usare tutte le funzionalità disponibili.
"Vi ricordiamo che abbiamo annunciato agli utenti che contribuiscono al codice su GitHub.com di abilitare l'autenticazione a due fattori (2FA)" si legge nell'email ricevuta da sviluppatori e amministratori, riportata da Bleeping Computer. "Stai ricevendo questo avviso perché il tuo account rientra in questi criteri e ti verrà richiesto di abilitare la 2FA il 19 gennaio 2024".
Lo stesso avviso viene mostrato sul sito dopo aver effettuato il login.
GitHub lo aveva già anticipato lo scorso 9 marzo, specificando che a partire dal 13 marzo avrebbe cominciato a notificare a gruppi di utenti sempre più ampi la necessità di abilitare la 2FA per migliorare la sicurezza degli account.
"Il rilascio graduale ci assicurerà che i gli sviluppatori saranno in grado di seguire l'iniziativa con successo ed effettuare tutte le modifiche necessarie prima di estendere la richiesta a gruppi più larghi nel corso dell'anno" si legge nell'avviso.
GitHub permette agli utenti di scegliere il metodo di autenticazione che preferiscono tra l'applicazione authenticator, l'SMS, le chiavi di sicurezza o GitHub Mobile. La piattaforma consiglia caldamente di utilizzare, se possibile, le chiavi di sicurezza e l'app authenticator, i metodi considerati più sicuri.
A partire dal 19 gennaio, gli utenti che effettueranno il login sulla piattaforma vedranno un avviso giornaliero che richiederà di abilitare la 2FA; se entro 7 giorni non la abiliteranno, non potranno modificare le impostazioni dell'account, accedere ai repository ed effettuare qualsiasi operazione sul codice finché non configureranno l'autenticazione a due fattori.
"L'autenticazione forte e l'uso di 2FA sono riconosciuti come best practice da molti anni, quindi riteniamo che GitHub abbia il dovere di espandere questa best practice come parte della protezione della catena di fornitura del software" ha spiegato la compagnia.
L'obbligo è valido solo per gli account base, non per quelli business o enterprise.