GitHub、すべてのGitHub.comユーザーに2要素認証の有効化を求めるアクションを開始

　米GitHubは、GitHub.comでコードを提供するすべての開発者に、2023年末までに1つ以上の2要素認証（2FA）を有効にすることを、3月13日（現地時間）から求めていく。

　2FAの有効化を求める取り組みでは、今後1年間をかけて開発者と管理者のグループに対して、まずは小規模なグループから2FA登録要求を通知する。段階的なロールアウトによって、開発者が正しく2FAを有効化できることを確認するとともに、必要に応じて調整を行いながら、より大規模なグループに2FAの有効化要求を拡大していく。

　2FAの有効化を求められるアカウントには、メールで通知されるとともに、2FAの有効化を求めるバナーがGitHub.comに表示される。2FAの有効化が求められた時点からは、45日間の猶予が設けられており、有効期限が過ぎた後にはじめてGitHub.comにアクセスする際に、2FAを有効にする必要がある。

　なお、45日間経過後も、2FAの有効化を最大1週間先延ばしにでき、それを過ぎるとアカウントが制限される。1週間の猶予は、45日経過後にはじめてGitHub.comにアクセスした際にカウントがスタートするため、休暇などで45日間を過ぎてしまった場合でも、そこからはじめてGitHub.comにアクセスしてから2FAを有効化するまで、1週間の猶予が得られる。

　2FAを有効化したGitHub.comユーザーには、28日後に2FAの実行と2つ目の要素の設定を求めるプロンプトを表示する。認証方法としては、認証アプリ（TOTP）とSMS番号の両方を同時に登録可能になり、アカウントのロックを防ぐことができる。

　さらに、オプションでアカウントのログインとsudoプロンプトを使用する際に優先する2FA方法を設定でき、優先する2FA方法はTOTP、SMS、セキュリティキー、GitHub Mobileのいずれかから選べる（可能な限りセキュリティキーとTOTPの使用を強く推奨）。SMSベースの2FAは、NIST 800-63Bでは非推奨となっている一方で、物理的なセキュリティキーや、Windows HelloまたはFace ID／Touch IDといったテクノロジをサポートする個人用デバイスを含む、WebAuthnセキュア認証標準をサポートする方法なら、もっとも強力な保護が実現する。

　そのほか、アカウントへのサインイン、またはアカウントの復元ができない場合に備えて、2FAが有効化されたGitHubアカウントからメールアドレスのリンク解除が可能になった。SSHキー、PAT、GitHubにサインインしたことのあるデバイスが見つからず、アカウントが復元できない場合は、新しいGitHub.comアカウントを作成できる。