Em meio aos recentes problemas de segurança na plataforma, o GitHub anuncia autenticação de dois fatores melhorada para contas npm.
Recentemente o GitHub impôs o 2FA para todos os editores dos 100 principais pacotes por dependente, com todos os editores dos 500 principais e pacotes de alto impacto inscritos no início de 2022.
Agora, o GitHub lançou uma nova versão beta pública para melhorar notavelmente a experiência de autenticação de dois fatores (2FA) para todas as contas de usuário npm.
GitHub anuncia autenticação de dois fatores melhorada para contas npm
Myles Borins, gerente de produto de código aberto do GitHub, disse que a plataforma de hospedagem de código agora permite que contas npm registrem “vários fatores de segundo, como chaves de segurança, dispositivos biométricos e aplicativos de autenticação”.
Também introduziu um novo menu de configuração 2FA que permite aos usuários gerenciar chaves registradas e códigos de recuperação.
Recursos adicionais disponíveis a partir de hoje incluem a capacidade de visualizar e regenerar códigos de recuperação e suporte completo à interface de linha de comando (CLI).
Os inscritos nesta versão beta pública poderão fazer login e publicar via CLI usando chaves de segurança físicas e dispositivos biométricos.
Essas mudanças ocorrem após o lançamento em dezembro da verificação de login aprimorada para todos os editores do npm em resposta a uma série massiva de aquisições de contas.
Dois meses depois, o GitHub impôs o 2FA para todos os editores dos 100 principais pacotes por dependente, com todos os editores dos 500 principais e pacotes de alto impacto inscritos no início de 2022.
O GitHub também revelou na semana passada que todos os contribuidores de código ativos (cerca de 83 milhões de desenvolvedores no total) precisarão habilitar a autenticação de dois fatores (2FA) em suas contas até o final do próximo ano.
Os desenvolvedores podem usar várias opções de 2FA para proteger suas contas, incluindo chaves de segurança físicas, chaves de segurança virtuais incorporadas a dispositivos como telefones ou laptops e aplicativos autenticadores de senha de uso único (TOTP) baseados em tempo.
Embora o 2FA baseado em SMS também seja uma opção (apenas em alguns países), o GitHub pediu aos usuários que mudem para chaves de segurança ou TOTPs, já que os agentes de ameaças podem ignorar o SMS 2FA ou roubar tokens de autenticação enviados por SMS.
O GitHub também melhorou a segurança da conta ao longo dos anos, adicionando alertas de login, autenticação de dois fatores e suporte WebAuthn.
O impulso beta público de hoje para aumentar a segurança da conta npm é o passo mais recente do GitHub para proteger a cadeia de fornecimento de software contra ataques, afastando-se da autenticação básica baseada em senha.