GitHub insta a los usuarios a habilitar 2FA después de cambiar sin contraseña

GitHub insta a su base de usuarios a activar la autenticación de dos factores (2FA) después de desaprobar la autenticación basada en contraseña para las operaciones de Git.

"Si aún no lo ha hecho, aproveche este momento para habilitar 2FA para su cuenta de GitHub ", dijo el director de seguridad de la empresa, Mike Hanley.

"Los beneficios de la autenticación multifactor están bien documentados y protegen contra una amplia gama de ataques, como el phishing".

Hanley recomienda usar una de las muchas opciones de 2FA disponibles en GitHub, incluidas las claves de seguridad físicas, las claves de seguridad virtuales integradas en dispositivos como teléfonos y computadoras portátiles, o aplicaciones de autenticación de contraseña única basada en el tiempo (TOTP).

Si bien la 2FA basada en SMS también está disponible, GitHub alienta a los usuarios a elegir claves de seguridad o TOTP siempre que sea posible, ya que los SMS son menos seguros ya que los actores de amenazas pueden eludir o robar tokens de autenticación 2FA de SMS.

GitHub también proporciona una guía de video paso a paso sobre cómo habilitar la clave de seguridad para las claves SSH y la verificación de confirmación de Git.

Índice de contenidos
  1. ¿Por qué es importante 2FA?
  2. Los esfuerzos de GitHub para proteger las cuentas de usuario

¿Por qué es importante 2FA?

Hacer cumplir la autenticación sin contraseña a través de las operaciones de Git es importante porque aumenta la resistencia de las cuentas de GitHub contra los intentos de toma de control, lo que evita que los atacantes intenten usar credenciales robadas o contraseñas reutilizadas para secuestrar cuentas.

Como Alex Weinert, director de seguridad de identidad de Microsoft, Ella dijo Hace un par de años, "su contraseña no importa, ¡pero la autenticación multifactor sí! Según nuestros estudios, su cuenta tiene un 99,9% menos de probabilidades de verse comprometida si utiliza la autenticación multifactor".

Weinert también agregó que "usar cualquier cosa además de la contraseña aumenta significativamente los costos para los atacantes, por lo que la tasa de compromiso de las cuentas que usan cualquier tipo de MFA es menos del 0.1% de la población general".

Los investigadores de Google también comentó que "simplemente agregar un número de teléfono de recuperación a su cuenta de Google puede bloquear hasta el 100% de los bots automatizados, el 99% de los ataques masivos de phishing y el 66% de los ataques dirigidos".

Al mismo tiempo, "cero usuarios que utilizan exclusivamente llaves de seguridad han sido víctimas de phishing dirigido".

Los esfuerzos de GitHub para proteger las cuentas de usuario

GitHub les recordó a los usuarios la semana pasada que las contraseñas de las cuentas ya no se aceptarán para autenticar las operaciones de Git a partir del 13 de agosto.

El cambio fue anunciado por primera vez en julio de 2020 cuando GitHub dijo que las operaciones de Git autenticadas requerirían el uso de la clave SSH o la autenticación basada en token.

GitHub también deshabilitó la autenticación de contraseña a través de la API REST en noviembre de 2020 y agregó soporte para proteger las operaciones SSH de Git utilizando claves de seguridad FIDO2 en mayo de 2021.

La seguridad de la cuenta también se ha mejorado a lo largo de los años al agregar Autenticación de dos factores, alertas de acceso, dispositivos verificados, bloquear el uso de contraseñas comprometidas, Y Soporte WebAuthn.

Descubre más contenido

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir Change privacy settings