Puede que el futuro sea extraño, pero también es probable que sea más seguro, ya que cada vez más plataformas y servicios se alejan del uso de contraseñas para la autenticación primaria. El último servicio importante en dar el salto es GitHub, que ahora requiere una forma de autenticación fuerte para cualquier operación Git en la plataforma.
El cambio significa que los desarrolladores e integradores tendrán que utilizar llaves de seguridad físicas, aplicaciones TOTP 2FA u otra forma de autenticación fuerte para poder ejecutar operaciones en GitHub. La compañía anunció sus planes para realizar este cambio a principios de este año, y el cambio entró en vigor la semana pasada. Aunque hay varias opciones compatibles con 2FA en la plataforma, la compañía está animando a los usuarios a optar por llaves de seguridad físicas si es posible. Las llaves de seguridad de hardware proporcionan la mejor protección actual contra los ataques de suplantación de identidad y de toma de posesión de cuentas, ya que requieren que el individuo tenga tanto credenciales como acceso físico a la llave para poder autenticarse.
“En diciembre, anunciamos que, a partir del 13 de agosto de 2021, GitHub ya no aceptará contraseñas de cuentas al autenticar las operaciones de Git y requerirá el uso de factores de autenticación fuertes, como un token de acceso personal, claves SSH (para desarrolladores), o un token de instalación de OAuth o GitHub App (para integradores) para todas las operaciones de Git autenticadas en GitHub.com”, dijo el CISO de GitHub, Mike Hanley.
“Los métodos más fuertes ampliamente disponibles son los que soportan el emergente estándar de autenticación segura WebAuthn. Estos métodos incluyen llaves de seguridad físicas, así como dispositivos personales que soportan tecnologías como Windows Hello o Face ID/Touch ID. Estamos entusiasmados y somos optimistas con respecto a WebAuthn, por lo que hemos invertido pronto y seguiremos invirtiendo en él en GitHub.
WebAuthn ha surgido como uno de los bloques de construcción clave para hacer que la 2FA sea más simple y fácil de usar y ha encontrado su camino en una serie de productos y aplicaciones. En lugar de utilizar contraseñas para la autenticación, WebAuthn permite que los sitios, las aplicaciones y los servicios integren opciones de autenticación fuerte como llaves de hardware, Touch ID/FaceID, Windows Hello y otras en sus flujos de autenticación. Todos los principales navegadores admiten WebAuthn y forma parte de la especificación FIDO2, por lo que también es compatible con las principales llaves de seguridad de hardware.
La medida de GitHub llega en un momento en que los ataques a la cadena de suministro, especialmente los que se producen contra el software, se han convertido en una grave amenaza, tanto para los principales proveedores como para los desarrolladores de proyectos de código abierto. Uno de los vectores de estos ataques consiste en hacerse con la cuenta de un desarrollador con privilegios de commit en un proyecto objetivo y añadirle después código malicioso. Esto podría tener graves efectos posteriores si se comprometiera una biblioteca o un proyecto que se incorpora a muchas otras aplicaciones, y ya ha habido varios ejemplos en el pasado.