GitHub ha comunicato che l’autenticazione in due fattori (2FA) diventerà obbligatoria per tutti gli account degli sviluppatori dalla fine del 2023. Il servizio di Microsoft che ospita i progetti open source aveva già imposto questa protezione aggiuntiva all’inizio di febbraio, ma solo per i maintainer dei 100 pacchetti NPM più popolari.
GitHub: 2FA obbligatoria per tutti
GitHub spiega che gli account degli sviluppatori sono spesso il bersaglio di cybercriminali che tentano di accedere alle repository per nascondere codice infetto nel codice. L’obbligo dell’autenticazione in due fattori è previsto dalla fine del 2023 per evitare di creare problemi agli sviluppatori, ma soprattutto per testare nuove opzioni di sicurezza, come l’accesso senza password.
A fine ottobre 2021, qualcuno ha effettuato l’accesso agli account degli sviluppatori che non aveva attivato la 2FA. I cybercriminali hanno quindi nascosto malware (info stealer e miner di cryptovalute) nelle librerie JavaScript, distribuite attraverso i pacchetti NPM. Per questo motivo, i maintainer dei 100 pacchetti più popolari devono usare l’autenticazione in due fattori da febbraio. L’obbligo verrà esteso a fine maggio ai maintainer dei 500 pacchetti più popolari.
Gli sviluppatori possono sfruttare varie forme di 2FA. GitHub consiglia l’uso della funzionalità integrata nelle app per iOS e Android. In alternativa è possibile utilizzare una chiave fisica o un’app TOTP (Time-based One-Time Password). In molti paesi (Italia inclusa) è disponibile l’autenticazione tramite SMS. Questa opzione è tuttavia sconsigliata perché i cybercriminali possono intercettare il messaggio.
In base ai dati di GitHub, oggi solo il 16,5% degli utenti usa l’autenticazione in due fattori, quindi occorre necessariamente rafforzare la sicurezza per evitare accessi indesiderati agli account.