Mulai minggu depan, GitHub akan meminta pengembang aktif di situs untuk mengaktifkan setidaknya satu bentuk autentikasi dua faktor (2FA). Inisiatif keamanan akan dimulai dengan grup pengembang dan administrator yang dipilih secara khusus pada 13 Maret.
Hingga akhir tahun, GitHub akan mulai memberi tahu mereka yang telah terpilih tentang persyaratan 2FA. Seiring berjalannya tahun, semakin banyak pengguna yang diwajibkan untuk mengaktifkan autentikasi dua faktor.
Lihat juga:
Meluncurkan langkah-langkah keamanan baru, GitHub mengatakan: “Pada 13 Maret, kami akan secara resmi meluncurkan inisiatif kami untuk mewajibkan semua pengembang yang menyumbangkan kode di GitHub.com untuk mengaktifkan satu atau lebih bentuk autentikasi dua faktor (2FA) pada akhirnya. tahun 2023”.
GitHub akan menampilkan pemberitahuan spanduk pada akun yang dipilih untuk pendaftaran dalam program yang memberi tahu mereka tentang perlunya mengaktifkan 2FA dalam waktu 45 hari. Saat batas waktu tiba, siapa pun yang terpilih tetapi masih mengajukan untuk mengaktifkan 2FA akan diminta setiap hari untuk melakukannya.
Kegagalan untuk mengaktifkan autentikasi dua faktor seminggu setelah tenggat waktu berarti kehilangan akses ke fitur GitHub hingga diaktifkan.
GitHub mengatakan bahwa ia membuat berbagai perubahan pada “pengalaman” 2FA untuk memuluskan transisi:
Validasi faktor kedua setelah penyiapan 2FA. Pengguna GitHub.com yang menyiapkan 2FA akan melihat perintah setelah 28 hari, meminta mereka untuk melakukan 2FA dan mengonfirmasi setelan faktor kedua mereka. Permintaan ini membantu menghindari penguncian akun karena aplikasi pengautentikasi yang salah konfigurasi (aplikasi TOTP). Jika ternyata Anda tidak dapat menjalankan 2FA, Anda akan diberikan pintasan yang memungkinkan Anda menyetel ulang penyiapan 2FA tanpa terkunci dari akun Anda. Daftarkan faktor kedua. Memiliki metode 2FA yang lebih mudah diakses penting untuk memastikan bahwa Anda selalu memiliki akses ke akun Anda. Anda sekarang dapat memiliki aplikasi autentikator (TOTP) dan nomor SMS yang terdaftar di akun Anda secara bersamaan. Meskipun kami menyarankan penggunaan kunci keamanan dan aplikasi TOTP Anda melalui SMS, mengizinkan keduanya sekaligus membantu mengurangi penguncian akun dengan menyediakan opsi 2FA lain yang dapat diakses dan dimengerti yang dapat diaktifkan oleh pengembang. Pilih metode 2FA pilihan Anda. Pilihan baru yang lebih disukai memberdayakan Anda untuk menyetel metode 2FA pilihan Anda untuk login akun dan penggunaan sudo prompt, sehingga Anda selalu ditanyai metode favorit Anda terlebih dahulu saat masuk. Anda dapat memilih antara TOTP, SMS, kunci keamanan, atau GitHub Mobile sebagai metode 2FA pilihan Anda. Kami sangat menyarankan penggunaan kunci keamanan dan TOTP jika memungkinkan. 2FA berbasis SMS tidak memberikan tingkat perlindungan yang sama, dan tidak lagi direkomendasikan berdasarkan NIST 800-63B. Metode terkuat yang tersedia secara luas adalah metode yang mendukung standar autentikasi aman WebAuthn. Metode ini mencakup kunci keamanan fisik, serta perangkat pribadi yang mendukung teknologi, seperti Windows Hello atau Face ID/Touch ID. Putuskan tautan email Anda jika terjadi penguncian 2FA. Karena akun di GitHub diharuskan memiliki alamat email yang unik, pengguna yang terkunci mengalami kesulitan untuk memulai akun baru menggunakan alamat email pilihan mereka—yang menjadi tujuan semua komitmen mereka. Dengan fitur ini, Anda sekarang dapat memutuskan tautan alamat email Anda dari akun GitHub yang diaktifkan dua faktor jika Anda tidak dapat masuk atau memulihkannya. Jika Anda tidak dapat menemukan kunci SSH, PAT, atau perangkat yang sebelumnya telah masuk ke GitHub untuk memulihkan akun Anda, mudah untuk memulai dengan akun GitHub.com baru dan menjaga agar grafik kontribusi tetap hijau.
Informasi lebih lanjut tersedia di postingan blog GitHub.
