GitHub rendra obligatoire l’authentification deux facteurs pour tous les dveloppeurs d’ici fin 2023 La mesure touchera en premier des groupes d’utilisateurs spcialement slectionns

des cybercriminels ont vol les informations de connexion de 100 000 comptes d'utilisateurs de NPM, en utilisant des jetons d'utilisateur OAuth



partir de la semaine prochaine, GitHub demandera aux dveloppeurs actifs sur le site d’activer au moins une forme d’authentification deux facteurs (2FA). L’initiative de scurit dbutera le 13 mars avec des groupes de dveloppeurs et d’administrateurs spcialement slectionns.

Jusqu’ la fin de l’anne, GitHub commencera informer les personnes slectionnes de l’obligation d’utiliser l’authentification deux facteurs. Au fil de l’anne, de plus en plus d’utilisateurs seront obligs d’activer l’authentification deux facteurs.

Lors du lancement des nouvelles mesures de scurit, GitHub dclare : « Le 13 mars, nous commencerons officiellement dployer notre initiative visant exiger de tous les dveloppeurs qui contribuent au code sur GitHub.com qu’ils activent une ou plusieurs formes d’authentification deux facteurs (2FA) d’ici la fin de l’anne 2023« .

GitHub affichera une bannire de notification sur les comptes slectionns pour participer au programme, les informant de la ncessit d’activer l’authentification deux facteurs dans un dlai de 45 jours. Le jour de l’chance, les personnes qui ont t slectionnes, mais qui n’ont pas encore rempli le formulaire d’activation du 2FA seront invites chaque jour le faire.

Si l’authentification deux facteurs n’est pas active une semaine aprs la date limite, l’accs la fonctionnalit GitHub sera supprim jusqu’ ce qu’elle soit active.

GitHub indique qu’il apporte diverses modifications l' »exprience » 2FA pour faciliter la transition :

  • valider le second facteur aprs l’installation du 2FA. Les utilisateurs de GitHub.com qui ont configur le 2FA verront une invite aprs 28 jours, leur demandant d’excuter le 2FA et de confirmer leurs paramtres de deuxime facteur. Cette invite permet d’viter le verrouillage du compte d des applications d’authentification mal configures (applications TOTP). Si vous ne pouvez pas effectuer l’authentification 2FA, un raccourci vous permettra de rinitialiser la configuration de l’authentification 2FA sans tre bloqu sur votre compte ;
  • enrler les deuximes facteurs. Il est important de disposer de mthodes 2FA plus accessibles pour garantir que vous avez toujours accs votre compte. Vous pouvez dsormais avoir la fois une application d’authentification (TOTP) et un numro de SMS enregistrs sur votre compte. Bien que nous recommandions d’utiliser des clefs de scurit et votre application TOTP plutt que des SMS, le fait d’autoriser les deux mthodes en mme temps permet de rduire le verrouillage des comptes en offrant une autre option 2FA accessible et comprhensible que les dveloppeurs peuvent activer ;
  • choisir la mthode 2FA prfre. La nouvelle option prfre vous permet de dfinir votre mthode 2FA prfre pour la connexion au compte et l’utilisation de l’invite sudo, de sorte que votre mthode prfre vous soit toujours demande en premier lors de la connexion. Vous pouvez choisir entre TOTP, SMS, clefs de scurit ou GitHub Mobile comme mthode 2FA prfre. Nous recommandons fortement l’utilisation de clefs de scurit et de TOTP dans la mesure du possible. Le 2FA par SMS n’offre pas le mme niveau de protection et n’est plus recommand par le NIST 800-63B. Les mthodes les plus puissantes disponibles sont celles qui prennent en charge la norme d’authentification scurise WebAuthn. Ces mthodes comprennent les clefs de scurit physiques, ainsi que les appareils personnels qui prennent en charge des technologies telles que Windows Hello ou Face ID/Touch ID ;
  • dconnecter son courriel en cas de blocage de l’authentification 2FA. Comme les comptes sur GitHub doivent avoir une adresse email unique, les utilisateurs bloqus ont des difficults crer un nouveau compte en utilisant leur adresse email prfre, celle vers laquelle pointent tous leurs commits. Grce cette fonctionnalit, vous pouvez dsormais dissocier votre adresse lectronique d’un compte GitHub deux facteurs au cas o vous ne parviendriez pas vous connecter ou la rcuprer. Si vous ne parvenez pas trouver une clef SSH, un PAT ou un appareil prcdemment connect GitHub pour rcuprer votre compte, il est facile de repartir zro avec un nouveau compte GitHub.com et de conserver le vert de votre graphique de contribution.

Source : GitHub

Et vous ?

Qu’en pensez-vous ?

Pensez-vous que cette dcision de GitHub d’imposer l’authentification deux facteurs sera bien reue par la communaut ?

Voir aussi :

GitHub licencie 10 % de son personnel et rduit ses besoins en espace de bureau en raison de leur faible utilisation, l’entreprise devrait bientt passer un mode de travail entirement distance

GitHub annonce que 100 millions de dveloppeurs utilisent dsormais sa plateforme d’hbergement de code, la plateforme appartenant Microsoft avait prvu atteindre ce palier l’horizon 2025

Quelles sont les applications d’authentification les plus populaires du point de vue de la scurit ? Microsoft Authenticator arrive en tte, suivi de Google Authenticator et de Twilio Authy



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.