GitHub vai exigir autenticação em dois fatores para proteger códigos

Até o final de 2023, todos os desenvolvedores que enviam códigos para o GitHub terão que ativar a autenticação em dois passos

Emerson Alecrim

Habilitar a autenticação em dois fatores (2FA, na sigla em inglês) é uma recomendação de segurança válida para qualquer tipo de serviço. Não é diferente com o GitHub. Mas, o que antes era opcional, vai se tornar obrigatório: nesta quarta-feira (4), a plataforma anunciou que todos os usuários que contribuem com código terão que habilitar esse tipo de proteção.

2FA no GitHub (imagem: divulgação/GitHub)
2FA no GitHub (imagem: divulgação/GitHub)

Pode parecer exagero, principalmente para quem usa o GitHub em projetos esporádicos ou pessoais. Mas, quando o assunto é segurança, vale a máxima de que é melhor pecar pelo excesso do que pela falta.

Experiências prévias podem motivar decisões como essa. No caso do GitHub, a plataforma enfrentou incidentes de segurança envolvendo registros NPM (Node Package Manager) no ano passado. Esse é o fator que mais pesou para a exigência de 2FA.

Acho válido a plataforma seguir por esse caminho. O NPM é o principal gerenciador de pacotes para Node.js (e foi adquirido pelo GitHub em 2020). Os pacotes disponíveis por lá são usados em numerosos projetos. Se apenas um deles for violado, centenas, talvez milhares de serviços podem ser afetados de imediato.

Existe um exemplo recente disso, embora não relacionado a uma invasão. Em março, um módulo chamado node-ipc foi sabotado por seu próprio desenvolvedor. De repente, usuários desse pacote passaram a se deparar com mensagens de apoio à Ucrânia em seus sistemas.

Pense, então, no que poderia acontecer se, por força de uma violação, pacotes NPM se tornassem maliciosos. Eles poderiam forçar o download de um malware, por exemplo.

No anúncio oficial, o próprio GitHub alerta sobre esse tipo de perigo:

As contas comprometidas podem ser usadas para roubar código privado ou enviar alterações maliciosas a esse código. Isso coloca em risco não apenas os indivíduos e organizações associados às contas comprometidas, mas também qualquer usuário do código afetado.

Esses ataques têm um grande potencial de impacto em todo o ecossistema de software, assim como na sua cadeia de fornecimento.

2FA no GitHub Mobile

2FA no GitHub (imagem: divulgação/GitHub)
2FA no GitHub (imagem: divulgação/GitHub)

De acordo com o GitHub, hoje, apenas 16,5% dos usuários ativos da plataforma e 6,4% dos que utilizam o NPM usam uma ou mais formas de autenticação em dois fatores. É pouco. Por isso, esse recurso será exigido de todos os usuários que contribuem com código até o final de 2023.

Essa medida se somará a outros mecanismos de proteção já adotados pelo GitHub, como exigência de verificação de dispositivo baseado em email e suporte a chaves de segurança WebAuthn.

Para quem já quer usar a autenticação em dois fatores, um jeito fácil de fazer isso é baixando o aplicativo GitHub Mobile, disponível para iOS e Android. No início do ano, o app recebeu uma função que facilita o uso de 2FA. Para ativá-la, é necessário já ter esse tipo de autenticação funcionando em sua conta.

O GitHub observa ainda que organizações ou empresas com contas na plataforma também podem exigir que seus membros ativem a 2FA.

Leia | Como ativar a verificação em duas etapas no Discord [2FA]

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Foi reconhecido nas edições 2023 e 2024 do Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.