Jusqu'à la fin de l'année, GitHub commencera à informer les personnes sélectionnées de l'obligation d'utiliser l'authentification à deux facteurs. Au fil de l'année, de plus en plus d'utilisateurs seront obligés d'activer l'authentification à deux facteurs.
Lors du lancement des nouvelles mesures de sécurité, GitHub déclare : "Le 13 mars, nous commencerons officiellement à déployer notre initiative visant à exiger de tous les développeurs qui contribuent au code sur GitHub.com qu'ils activent une ou plusieurs formes d'authentification à deux facteurs (2FA) d'ici la fin de l'année 2023".
GitHub affichera une bannière de notification sur les comptes sélectionnés pour participer au programme, les informant de la nécessité d'activer l'authentification à deux facteurs dans un délai de 45 jours. Le jour de l'échéance, les personnes qui ont été sélectionnées, mais qui n'ont pas encore rempli le formulaire d'activation du 2FA seront invitées chaque jour à le faire.
Si l'authentification à deux facteurs n'est pas activée une semaine après la date limite, l'accès à la fonctionnalité GitHub sera supprimé jusqu'à ce qu'elle soit activée.
GitHub indique qu'il apporte diverses modifications à l'"expérience" 2FA pour faciliter la transition :
- valider le second facteur après l'installation du 2FA. Les utilisateurs de GitHub.com qui ont configuré le 2FA verront une invite après 28 jours, leur demandant d'exécuter le 2FA et de confirmer leurs paramètres de deuxième facteur. Cette invite permet d'éviter le verrouillage du compte dû à des applications d'authentification mal configurées (applications TOTP). Si vous ne pouvez pas effectuer l'authentification 2FA, un raccourci vous permettra de réinitialiser la configuration de l'authentification 2FA sans être bloqué sur votre compte ;
- enrôler les deuxièmes facteurs. Il est important de disposer de méthodes 2FA plus accessibles pour garantir que vous avez toujours accès à votre compte. Vous pouvez désormais avoir à la fois une application d'authentification (TOTP) et un numéro de SMS enregistrés sur votre compte. Bien que nous recommandions d'utiliser des clefs de sécurité et votre application TOTP plutôt que des SMS, le fait d'autoriser les deux méthodes en même temps permet de réduire le verrouillage des comptes en offrant une autre option 2FA accessible et compréhensible que les développeurs peuvent activer ;
- choisir la méthode 2FA préférée. La nouvelle option préférée vous permet de définir votre méthode 2FA préférée pour la connexion au compte et l'utilisation de l'invite sudo, de sorte que votre méthode préférée vous soit toujours demandée en premier lors de la connexion. Vous pouvez choisir entre TOTP, SMS, clefs de sécurité ou GitHub Mobile comme méthode 2FA préférée. Nous recommandons fortement l'utilisation de clefs de sécurité et de TOTP dans la mesure du possible. Le 2FA par SMS n'offre pas le même niveau de protection et n'est plus recommandé par le NIST 800-63B. Les méthodes les plus puissantes disponibles sont celles qui prennent en charge la norme d'authentification sécurisée WebAuthn. Ces méthodes comprennent les clefs de sécurité physiques, ainsi que les appareils personnels qui prennent en charge des technologies telles que Windows Hello ou Face ID/Touch ID ;
- déconnecter son courriel en cas de blocage de l'authentification 2FA. Comme les comptes sur GitHub doivent avoir une adresse email unique, les utilisateurs bloqués ont des difficultés à créer un nouveau compte en utilisant leur adresse email préférée, celle vers laquelle pointent tous leurs commits. Grâce à cette fonctionnalité, vous pouvez désormais dissocier votre adresse électronique d'un compte GitHub à deux facteurs au cas où vous ne parviendriez pas à vous connecter ou à la récupérer. Si vous ne parvenez pas à trouver une clef SSH, un PAT ou un appareil précédemment connecté à GitHub pour récupérer votre compte, il est facile de repartir à zéro avec un nouveau compte GitHub.com et de conserver le vert de votre graphique de contribution.
Source : GitHub
Et vous ?
Qu'en pensez-vous ?
Pensez-vous que cette décision de GitHub d'imposer l'authentification à deux facteurs sera bien reçue par la communauté ?
Voir aussi :
GitHub licencie 10 % de son personnel et réduit ses besoins en espace de bureau en raison de leur faible utilisation, l'entreprise devrait bientôt passer à un mode de travail entièrement à distance
GitHub annonce que 100 millions de développeurs utilisent désormais sa plateforme d'hébergement de code, la plateforme appartenant à Microsoft avait prévu atteindre ce palier à l'horizon 2025
Quelles sont les applications d'authentification les plus populaires du point de vue de la sécurité ? Microsoft Authenticator arrive en tête, suivi de Google Authenticator et de Twilio Authy