Aujourd’hui, GitHub a lancé une nouvelle version bêta publique pour améliorer notamment l’expérience d’authentification à deux facteurs (2FA) pour tous les comptes d’utilisateurs npm.
Myles Borins, chef de produit Open Source chez GitHub, a déclaré que la plate-forme d’hébergement de code permet désormais aux comptes npm d’enregistrer « plusieurs seconds facteurs, tels que les clés de sécurité, les dispositifs biométriques et les applications d’authentification ».
Il a également introduit un nouveau menu de configuration 2FA qui permet aux utilisateurs de gérer les clés enregistrées et les codes de récupération.
Les fonctionnalités supplémentaires disponibles à partir d’aujourd’hui incluent la possibilité d’afficher et de régénérer les codes de récupération et la prise en charge complète de l’interface de ligne de commande (CLI).
Les personnes inscrites à cette version bêta publique pourront se connecter et publier via la CLI à l’aide de clés de sécurité physiques et de dispositifs biométriques.
Ces changements interviennent après un déploiement en décembre de la vérification de connexion améliorée à tous les éditeurs npm en réponse à une série massive de prises de contrôle de comptes.
Deux mois plus tard, GitHub a appliqué 2FA pour tous les éditeurs du top 100 des packages par personne à chargeavec tous les éditeurs des 500 meilleurs packages et des packages à fort impact inscrits au début de 2022.
Déploiement 2FA sur toute la plateforme
GitHub a également révélé la semaine dernière que tous les contributeurs de code actifs (environ 83 millions de développeurs au total) devront activer l’authentification à deux facteurs (2FA) sur leurs comptes jusqu’à la fin de l’année prochaine.
Les développeurs peuvent utiliser plusieurs options 2FA pour sécuriser leurs comptes, notamment des clés de sécurité physiques, des clés de sécurité virtuelles intégrées à des appareils tels que des téléphones ou des ordinateurs portables, et des applications d’authentification par mot de passe à usage unique (TOTP).
Bien que 2FA basé sur SMS soit également une option (seulement Dans certains pays), GitHub a exhorté les utilisateurs à passer aux clés de sécurité ou aux TOTP, étant donné que les pirates peuvent contourner SMS 2FA ou voler des jetons d’authentification envoyés par SMS.
GitHub a également amélioré la sécurité des comptes au fil des ans en ajoutant alertes de connexion, authentification à deux facteurset Prise en charge de l’authentification Web.
La poussée bêta publique d’aujourd’hui vers une sécurité accrue des comptes npm est la dernière étape de GitHub pour protéger la chaîne d’approvisionnement des logiciels contre les attaques en s’éloignant de l’authentification de base basée sur un mot de passe.