米GitHubは、GitHub.comでコードを提供するすべての開発者に、2023年末までに1つ以上の2要素認証(2FA)を有効にすることを、3月13日(現地時間)から求めていく。
2FAの有効化を求める取り組みでは、今後1年間をかけて開発者と管理者のグループに対して、まずは小規模なグループから2FA登録要求を通知する。段階的なロールアウトによって、開発者が正しく2FAを有効化できることを確認するとともに、必要に応じて調整を行いながら、より大規模なグループに2FAの有効化要求を拡大していく。
2FAの有効化を求められるアカウントには、メールで通知されるとともに、2FAの有効化を求めるバナーがGitHub.comに表示される。2FAの有効化が求められた時点からは、45日間の猶予が設けられており、有効期限が過ぎた後にはじめてGitHub.comにアクセスする際に、2FAを有効にする必要がある。
なお、45日間経過後も、2FAの有効化を最大1週間先延ばしにでき、それを過ぎるとアカウントが制限される。1週間の猶予は、45日経過後にはじめてGitHub.comにアクセスした際にカウントがスタートするため、休暇などで45日間を過ぎてしまった場合でも、そこからはじめてGitHub.comにアクセスしてから2FAを有効化するまで、1週間の猶予が得られる。
2FAを有効化したGitHub.comユーザーには、28日後に2FAの実行と2つ目の要素の設定を求めるプロンプトを表示する。認証方法としては、認証アプリ(TOTP)とSMS番号の両方を同時に登録可能になり、アカウントのロックを防ぐことができる。
さらに、オプションでアカウントのログインとsudoプロンプトを使用する際に優先する2FA方法を設定でき、優先する2FA方法はTOTP、SMS、セキュリティキー、GitHub Mobileのいずれかから選べる(可能な限りセキュリティキーとTOTPの使用を強く推奨)。SMSベースの2FAは、NIST 800-63Bでは非推奨となっている一方で、物理的なセキュリティキーや、Windows HelloまたはFace ID/Touch IDといったテクノロジをサポートする個人用デバイスを含む、WebAuthnセキュア認証標準をサポートする方法なら、もっとも強力な保護が実現する。
そのほか、アカウントへのサインイン、またはアカウントの復元ができない場合に備えて、2FAが有効化されたGitHubアカウントからメールアドレスのリンク解除が可能になった。SSHキー、PAT、GitHubにサインインしたことのあるデバイスが見つからず、アカウントが復元できない場合は、新しいGitHub.comアカウントを作成できる。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です