[10/03/2023] GitHub ha comenzado el despliegue oficial de la autenticación de dos factores (2FA) para los desarrolladores que aportan código a la plataforma, con el fin de mejorar la seguridad de las cuentas y la cadena de suministro de software. GitHub anunció por primera vez su intención de imponer 2FA a todos los contribuidores de código en mayo del 2022, y comenzará la inscripción del primer grupo el lunes 13 de marzo. GitHub permite a los usuarios elegir el método 2FA que prefieran: SMS, TOTP, claves de seguridad o GitHub mobile. El despliegue se produce una semana después de que la Casa Blanca publicara una ambiciosa Estrategia Nacional de Ciberseguridad que responsabiliza a los proveedores de software de asegurar el ecosistema de software.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Los desarrolladores y administradores de GitHub tienen 45 días para configurar 2FA en sus cuentas
GitHub se pondrá en contacto con grupos de desarrolladores y administradores a lo largo del año para iniciar su inscripción en 2FA, y los primeros serán contactados la próxima semana. Los desarrolladores y administradores tendrán 45 días para configurar 2FA en sus cuentas. Para garantizar una experiencia 2FA sin problemas, GitHub está ofreciendo opciones de autenticación de colaboradores, dijo la plataforma de desarrollo. Entre ellas se incluyen
- Elección del método 2FA preferido: Los usuarios pueden elegir entre TOTP, SMS, claves de seguridad o GitHub Mobile como método 2FA preferido.
- Validación de segundo factor tras la configuración de 2FA: Esto ayuda a evitar el bloqueo de la cuenta debido a aplicaciones autenticadoras mal configuradas (aplicaciones TOTP).
- Registro de segundos factores: Los desarrolladores y administradores pueden registrar tanto una app autenticadora (TOTP) como un número SMS en su cuenta al mismo tiempo, lo que ayuda a reducir el bloqueo de cuentas al proporcionar otra opción 2FA accesible.
- Desvinculación del correo electrónico en caso de bloqueo 2FA: Los desarrolladores y administradores pueden desvincular su dirección de correo electrónico de una cuenta de GitHub habilitada con dos factores en caso de que no puedan iniciar sesión o recuperarla.
Proteger a los desarrolladores es clave para asegurar la cadena de suministro de software
En un blog publicado el pasado mes de mayo, el CSO de GitHub, Mike Hanley, afirmaba que las cuentas de los desarrolladores son objetivos frecuentes de la ingeniería social y la apropiación de cuentas, por lo que proteger a los desarrolladores de los ataques es el primer y más crítico paso para asegurar la cadena de suministro de software. Todos los usuarios que contribuyan con código en GitHub deberán habilitar una o más formas de 2FA para finales de 2023, añadió.
El objetivo es ir más allá de la autenticación básica basada en contraseña para proporcionar una defensa 2FA mejorada. "La mayoría de las brechas de seguridad no son producto de exóticos ataques de día cero, sino que implican ataques de menor costo como ingeniería social, robo o fuga de credenciales y otras vías que proporcionan a los atacantes una amplia gama de acceso a las cuentas de las víctimas y los recursos a los que tienen acceso", escribió Hanley. "Las cuentas comprometidas pueden utilizarse para robar código privado o introducir cambios maliciosos en ese código. Esto pone en peligro no sólo a las personas y organizaciones asociadas a las cuentas comprometidas, sino también a los usuarios del código afectado. El impacto potencial en el ecosistema del software en general y en la cadena de suministro es considerable".
El analista senior de CybelAngel, David Sygula, señaló a CSO en mayo que, si bien los planes de GitHub para implementar 2FA en toda su plataforma reducirán significativamente las posibilidades de toma de posesión de cuentas, no significa que los usuarios de GitHub dejen de compartir secretos en su repositorio. "Uno de los problemas es que los repositorios se hacen públicos; no hay necesidad de iniciar sesión, por lo que la autenticación multifactor no ayudará con eso. Es una buena práctica, pero será de poca ayuda para asegurar la cadena de suministro".
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú