GitHub: autenticazione a due fattori obbligatoria

A partire dalla fine del 2023, su GitHub, la nota piattaforma per la condivisione di codice per progetti software che è attualmente impiegata da milioni di sviluppatori in tutto il mondo, sarà necessario adoperare l’autenticazione a due fattori (2FA) per poter caricare codice.

GitHub: 2Fa obbligatoria per gli sviluppatori dal 2023

La decisione è stata presa al fine di cercare di migliorare la protezione dell’integrità del processo di sviluppo software a fronte delle minacce che vengono create dai malintenzionati e che riescono a prendere il controllo degli account degli sviluppatori e degli attacchi hacker che vengono messi in atto.

A rendere nota la cosa è stato lo stesso team di GitHub nel corso delle ultime ore. Riportiamo di seguito, in forma tradotta, quanto dichiarato al riguardo da Mike Hanley, Chief Security Officer di GitHub

La catena di distribuzione del software inizia con lo sviluppatore. Gli account degli sviluppatori sono obiettivi frequenti per le azioni di ingegneria sociale, e proteggere gli sviluppatori da questo tipo di attacchi è il primo e fondamentale passo verso la protezione della catena di distribuzione.

Gli sviluppatori possono adoperare varie forme di autenticazione a due fattori: GitHub consiglia l’uso della funzionalità integrata nelle app per iOS e Android, ma si può pure impiegare una chiave fisica o un’app TOTP (Time-based One-Time Password) oppure l’autenticazione tramite SMS (nei paesi ove disponibile), ma questa seconda opzione non è preferibile perché il messaggio ricevuto potrebbe venire intercettato da malintenzionati.

Da notare che l’autenticazione a due fattori viene considerata come una misura di protezione abbastanza efficace, ma un’indagine condotta internamente da GitHub ha rivelato che soltanto il 16,5% degli utenti della piattaforma utilizza misure di questo tipo sui propri account. La percentuale è decisamente ridotta all’osso se si considera il fatto che l’utenza che tipicamente ha a che fare con una piattaforma quale quella in questione dovrebbe invece essere ben consapevole dei rischi derivanti da un eventuale compromissione dell’account.