GitHub は、2023 年末までにすべてのユーザーに 2FA を有効にすることを要求します

GitHub は、2023 年末までに、プラットフォームでコードを提供するすべてのユーザーに対して、アカウントの追加の保護手段として 2 要素認証 (2FA) を有効にすることを要求します。

2 要素認証は、ログインプロセスにワンタイムコードの入力を必要とする追加の手順を導入することで、アカウントのセキュリティを強化します。

GitHub ユーザーの場合、アカウントの乗っ取りは、プロジェクトの人気度によっては、サプライチェーン攻撃のための悪意のあるコードの導入につながる可能性があり、広範囲に影響を与える可能性があります。

すべての GitHub アカウントに必須の手段として 2FA を課すことで、プラットフォームは、ユーザーがリポジトリからダウンロードするコードの品質についてより自信を持つことができる、より安全な空間になります。

今年の初めに、ソフトウェアホスティングおよびコラボレーションプラットフォームは、1 週間あたり 100 万回以上のダウンロードまたは 500 人以上の依存関係を持つ影響力の大きいプロジェクトのアクティブな開発者に関する同様の決定を発表しました。

現在、2FA 要件はユーザーベース全体に拡大されており、約 8,300 万人のユーザーをカバーしています。

GitHub は以前にこの決定を発表していましたが、新しい対策をどのように実装するかについての詳細を共有しました。

2FA 要件のロールアウト

GitHub は、2023 年 3 月からすべての GitHub アカウントで必須の 2FA をロールアウトし、最初にコントリビューターのグループを選択するようにプッシュします。

機能のロールアウトは、より大きなグループにスケーリングされる前に評価され、オンボーディング率、アカウントのロックアウトと回復、およびサポートチケットの量が測定されます。

GitHub によると、より大きなグループのプールは、次の基準を使用して構築されます。

2FA を有効にする事前通知を電子メールで受け取った人には、45 日間の猶予期間が与えられます。

期限に達すると、ユーザーは GitHub で 2FA を有効にするプロンプトをもう 1 週間表示し始めます。アクションを実行しない場合、GitHub 機能へのアクセスがブロックされます。

「この 1 週間のスヌーズ期間は、締め切り後にサインインした場合にのみ開始されます。休暇中の場合でも、心配する必要はありません。GitHub.com からロックアウトされて戻ってくることはありません」と発表で明確にしています。

2FA を有効にしてから 28 日後に、ユーザーは必須のチェックアップを受けて、新しいセキュリティ設定が期待どおりに機能していることを確認し、ユーザーが 2FA 設定を再構成して失われたコードを回復できるようにします。