GitHub entend renforcer la sécurité de ses utilisateurs en mettant en place 2FA
Dès la semaine prochaine, GitHub nécessitera des développeurs actifs sur le site activer au moins une forme d’authentification de deux facteurs (2FA). L’initiative de sécurité a débuté le 13 mars avec des groupes spécialement sélectionnés de développeurs et d’administrateurs.
Jusqu’à la fin de l’année, GitHub commencera à notifier les personnes sélectionnées sur l’obligation d’utiliser l’authentification à deux facteurs. Au fil de l’année, de plus en plus d’utilisateurs seront obligés d’activer l’authentification à deux facteurs.
En publiant les nouvelles mesures de sécurité, GitHub déclare :
« Le 13 mars, nous commencerons officiellement à déployer notre initiative visant à exiger que tous les développeurs contribuant au code de GitHub.com activent une ou plusieurs formes d’authentification à deux facteurs (2FA) d’ici la fin de 2023. »
GitHub affichera un bandeau de notification sur les comptes sélectionnés pour participer au programme, en les informant la nécessité d’activer l’authentification à deux facteurs dans les 45 jours. Le jour de la date limite, les personnes qui ont été sélectionnées mais qui n’ont pas encore rempli le formulaire d’activation 2FA seront invitées quotidiennement à le faire.
si authentification deux facteurs n’est pas activé une semaine après la date limite, l’accès sera supprimé à la fonctionnalité GitHub jusqu’à ce qu’elle soit activée.
GitHub il dit que apporte plusieurs modifications à “l’expérience” 2FA pour faciliter la transition :
- Validation du deuxième facteur après la configuration 2FA.
Ceci est destiné à garantir que les utilisateurs de GitHub qui ont configuré 2FA verront un message après 28 jours leur demandant d’exécuter 2FA et de confirmer la configuration du deuxième facteur. Cet avis permet d’éviter le verrouillage du compte en raison d’applications d’authentification mal configurées (applications TOTP). Si l’authentification 2FA ne peut pas être effectuée, un raccourci vous permettra de réinitialiser les paramètres d’authentification 2FA sans verrouiller votre compte. - Inscrire les seconds facteurs
Avec ce changement, il est prévu que non seulement une méthode 2FA soit implémentée, mais plutôt que vous puissiez en avoir plusieurs, en plus de les rendre plus accessibles pour garantir que vous avez toujours accès au compte.Vous pouvez maintenant avoir une application d’authentification (TOTP) et un numéro SMS enregistrés sur votre compte. Bien que nous vous recommandons d’utiliser des clés de sécurité et votre application TOTP par SMS, autoriser les deux méthodes en même temps permet de réduire le verrouillage du compte en fournissant une autre option 2FA accessible et compréhensible que les développeurs peuvent activer ;
- Choix de la méthode 2FA préférée.
La nouvelle option préférée permet à l’utilisateur de configurer sa méthode 2FA préférée pour vous connecter au compte et utiliser l’invite sudo, de sorte que votre méthode préférée est toujours demandée en premier lors de la connexion. Vous pouvez choisir entre TOTP, SMS, clés de sécurité ou GitHub Mobile comme méthode 2FA préférée. En plus de cela, il est fortement recommandé d’utiliser des clés de sécurité et TOTP dans la mesure du possible. SMS 2FA n’offre pas le même niveau de protection et n’est plus recommandé par NIST 800-63B. Les méthodes les plus puissantes disponibles sont celles qui prennent en charge la norme d’authentification sécurisée WebAuthn. Ces méthodes incluent des clés de sécurité physiques, - Dissociation des e-mails en cas de blocage 2FA.
Étant donné que les comptes sur GitHub doivent avoir une adresse e-mail unique, les utilisateurs bloqués ont du mal à créer un nouveau compte avec leur adresse e-mail préférée, vers laquelle pointent tous leurs commits. Grâce à cette fonctionnalité, dr peut désormais dissocier votre adresse e-mail d’un compte GitHub à deux facteurs au cas où vous ne pourriez pas vous connecter ou la récupérer. Si vous ne trouvez pas de clé SSH, de clé PAT ou d’appareil précédemment connecté à GitHub pour récupérer votre compte, il est facile de repartir à zéro avec un nouveau compte GitHub.com et de garder votre graphique de contribution vert.
Enfin, si vous souhaitez en savoir plus, vous pouvez consulter les détails dans le lien suivant.
