GitHub vai exigir autenticação em dois fatores para proteger códigos
Até o final de 2023, todos os desenvolvedores que enviam códigos para o GitHub terão que ativar a autenticação em dois passos
Habilitar a autenticação em dois fatores (2FA, na sigla em inglês) é uma recomendação de segurança válida para qualquer tipo de serviço. Não é diferente com o GitHub. Mas, o que antes era opcional, vai se tornar obrigatório: nesta quarta-feira (4), a plataforma anunciou que todos os usuários que contribuem com código terão que habilitar esse tipo de proteção.
- GitHub tem uma versão para desktop que acaba de ficar mais fácil de se usar
- Como usar o GitHub? [guia para iniciantes]
Pode parecer exagero, principalmente para quem usa o GitHub em projetos esporádicos ou pessoais. Mas, quando o assunto é segurança, vale a máxima de que é melhor pecar pelo excesso do que pela falta.
Experiências prévias podem motivar decisões como essa. No caso do GitHub, a plataforma enfrentou incidentes de segurança envolvendo registros NPM (Node Package Manager) no ano passado. Esse é o fator que mais pesou para a exigência de 2FA.
Acho válido a plataforma seguir por esse caminho. O NPM é o principal gerenciador de pacotes para Node.js (e foi adquirido pelo GitHub em 2020). Os pacotes disponíveis por lá são usados em numerosos projetos. Se apenas um deles for violado, centenas, talvez milhares de serviços podem ser afetados de imediato.
Existe um exemplo recente disso, embora não relacionado a uma invasão. Em março, um módulo chamado node-ipc foi sabotado por seu próprio desenvolvedor. De repente, usuários desse pacote passaram a se deparar com mensagens de apoio à Ucrânia em seus sistemas.
Pense, então, no que poderia acontecer se, por força de uma violação, pacotes NPM se tornassem maliciosos. Eles poderiam forçar o download de um malware, por exemplo.
No anúncio oficial, o próprio GitHub alerta sobre esse tipo de perigo:
As contas comprometidas podem ser usadas para roubar código privado ou enviar alterações maliciosas a esse código. Isso coloca em risco não apenas os indivíduos e organizações associados às contas comprometidas, mas também qualquer usuário do código afetado.
Esses ataques têm um grande potencial de impacto em todo o ecossistema de software, assim como na sua cadeia de fornecimento.
2FA no GitHub Mobile
De acordo com o GitHub, hoje, apenas 16,5% dos usuários ativos da plataforma e 6,4% dos que utilizam o NPM usam uma ou mais formas de autenticação em dois fatores. É pouco. Por isso, esse recurso será exigido de todos os usuários que contribuem com código até o final de 2023.
Essa medida se somará a outros mecanismos de proteção já adotados pelo GitHub, como exigência de verificação de dispositivo baseado em email e suporte a chaves de segurança WebAuthn.
Para quem já quer usar a autenticação em dois fatores, um jeito fácil de fazer isso é baixando o aplicativo GitHub Mobile, disponível para iOS e Android. No início do ano, o app recebeu uma função que facilita o uso de 2FA. Para ativá-la, é necessário já ter esse tipo de autenticação funcionando em sua conta.
O GitHub observa ainda que organizações ou empresas com contas na plataforma também podem exigir que seus membros ativem a 2FA.
Leia | Como ativar a verificação em duas etapas no Discord [2FA]