GitHub, la piattaforma di Microsoft che permette agli sviluppatori di ospitare codice sorgente Open Source su repository gestiti tramite Git, ha deciso di modificare le sue policy per quanto riguarda la sicurezza in fase di autenticazione. Dalla fine del prossimo anno si potrà quindi accedere al servizio soltanto utilizzando l’autenticazione a 2 fattori.
Tale novità era attesa da qualche tempo, anche in considerazione del fatto che l’obbligo della 2FA era già stato introdotto lo scorso febbraio per coloro che sviluppano i 100 package NPM più noti tra quelli mantenuti tramite la piattaforma. Entro la fine del 2023 il solo utilizzo della password non verrà considerato una modalità valida per il login.
La 2FA per garantire una maggior sicurezza agli utenti di GitHub
Le ragioni di questa iniziativa andrebbero ricercate nel fatto che senza la protezione della 2FA i repository potrebbero essere sfruttati per celare degli script malevoli all’interno dei codici sorgente. Già dalla fine di maggio 2022 l’obbligo del doppio fattore di autenticazione sarà ampliato ai maintainer dei 500 package NPM più popolari.
A tal proposito è utile citare un episodio che venne registrato nell’ottobre dello scorso anno, quando alcuni attaccanti non meglio identificati sarebbero riusciti a violare diversi account protetti unicamente da password per accedere a delle librerie JavaScript nelle quali includere illecitamente cryptominer e malware in grado di sottrarre dati personali.
Chi volesse passare da subito alla 2FA su GitHub potrà sfruttare il sistema integrato nell’applicazione mobile del servizio, diversamente è possibile utilizzare il supporto agli SMS come secondo fattore di autenticazione (pratica però sconsigliata da GitiHub), un’App che permetta la ricezione di codici OTP (One-Time Password) o una chiave fisica.