Snart mister du GitHub-en din om du ikke gjør dette

Du får beskjed om at du ikke lenger har noe valg - 2FA skal skrus på.

I løpet av 2023 skal alle GitHub-kontoer ha tofaktor. 📸: <a href="https://unsplash.com/@brechtcorbeel?utm_source=unsplash&amp;utm_medium=referral&amp;utm_content=creditCopyText">Brecht Corbeel</a> / <a href="https://unsplash.com/photos/BvAwzPQRRis?utm_source=unsplash&amp;utm_medium=referral&amp;utm_content=creditCopyText">Unsplash</a>
I løpet av 2023 skal alle GitHub-kontoer ha tofaktor. 📸: Brecht Corbeel / Unsplash Vis mer

GitHub annonserte i fjor at de på sikt kommer til å kreve at samtlige GitHub-brukere aktiverer tofaktor-autentisering (2FA), men inntil nå har det vært frivillig å skru det på.

Innen utgangen av 2023 skal alle GitHub-kontoer ha 2FA.

Og allerede fra og med mandag 13. mars begynner GitHub å sende ut varsler til brukere om at de skru på 2FA. Det skriver GitHub i et blogginnlegg.

«Utvikleres kontoer er hyppige mål for "social engineering" og overtakelse.»

45 dagers frist

GitHub kommer til å rulle ut 2FA gradvis i løpet av året, slik at de er sikre på at utviklere er i stand til å skru dette på uten at det skaper problemer for dem. Med en gradvis utrulling vil GitHub kunne gjøre eventuelle justeringer før de skalerer til større grupper av utviklere senere.

Hvis din GitHub-konto er valgt ut til å få obligatorisk 2FA, vil du få en e-post, i tillegg til at du vil se et banner på GitHub.com. Du har da 45 dager på deg til å sette opp 2FA for kontoen din.

Før de 45 dagene har gått vil du kunne bruke kontoen uten å aktivere 2FA, men GitHub vil plage deg med jevnlige varsler.

Skulle du mot formodning ikke ha satt opp 2FA i løpet av de 45 dagene, vil du ikke miste tilgang til noe, men du vil få beskjed om at du sette opp 2FA for å tilgang. Og selv da har du mulighet til å utsette med opptil én uke - før du mister tilgang.

Vil sikre mot forsyningskjedeangrep

GitHub er med sine over 100 millioner utviklere en viktig del av programvarebransjen. Såkalte forsyningskjedeangrep (supply chain attacks) er en økende trussel, og det har vært flere eksempler på at uvedkommende har fått tilgang til utvikleres GitHub-kontoer.

Ved et forsyningskjedeangrep kan ondsinnede aktører for eksempel klare å plante skadevare i programvare/avhengigheter som brukes i mange programvareprosjekter.

– Utvikleres kontoer er hyppige mål for "social engineering" og overtakelse. Å beskytte utviklere og forbrukere i åpen kildekode-økosystemet fra denne typen angrep er det første og mest kritiske steget mot å sikre forsyningskjeden, skriver GitHub.

Enklere å ta i bruk 2FA

GitHub opplyser at de har tatt en del grep for å gjøre det enklere enn før å sette opp tofaktorautentisering, og ikke minst forhindre at noen mister tilgang til kontoen sin for eksempel fordi de har satt opp en autentiserings-app feil.

Etter at du har satt opp 2FA vil du måtte teste at 2FA-oppsettet ditt virker innen 28 dager. Du vil også kunne ha mer enn én 2FA-metode, for eksempel både SMS og autentiseringsapp.

GitHub tester i tillegg ut bedre måter å logge inn på, slik at du kan slippe passord helt.