.
Você ouviu o conselho há anos: ative a autenticação de dois fatores em todos os lugares em que é oferecida. Há muito tempo está claro que usar apenas um nome de usuário e senha para proteger contas digitais não é suficiente. Mas adicionar um “fator” de autenticação adicional – como um código gerado aleatoriamente ou um token físico – torna as chaves do seu reino muito mais difíceis de adivinhar ou roubar. E as apostas são altas para indivíduos e instituições que tentam proteger suas redes e dados valiosos e confidenciais de hackers direcionados ou criminosos oportunistas.
Mesmo com todos os seus benefícios, muitas vezes é preciso um pouco de amor duro para fazer as pessoas realmente ativarem a autenticação de dois fatores, geralmente conhecida como 2FA. Na conferência de segurança Black Hat em Las Vegas ontem, John Swanson, diretor de estratégia de segurança do GitHub, apresentou as descobertas do esforço de dois anos da plataforma dominante de desenvolvimento de software para pesquisar, planejar e começar a implantar dois fatores obrigatórios para todas as contas . E o esforço assumiu uma urgência cada vez maior à medida que os ataques à cadeia de suprimentos de software proliferam e as ameaças ao ecossistema de desenvolvimento de software aumentam.
“Fala-se muito sobre exploits e zero dias e construir compromissos de pipeline em termos da cadeia de suprimentos de software, mas, no final das contas, a maneira mais fácil de comprometer a cadeia de suprimentos de software é comprometer um desenvolvedor ou engenheiro individual,” Swanson disse à Strong The One antes de sua apresentação na conferência. “Acreditamos que o 2FA é uma maneira realmente impactante de trabalhar na prevenção disso.”
Empresas como Apple e Google fizeram esforços conjuntos para levar suas enormes bases de usuários para 2FA, mas Swanson aponta que empresas com um ecossistema de hardware, como telefones e computadores, além de software, têm mais opções para facilitar a transição para os clientes. Plataformas da Web como o GitHub precisam usar estratégias personalizadas para garantir que os dois fatores não sejam muito onerosos para usuários de todo o mundo, que têm circunstâncias e recursos diferentes.
Por exemplo, receber códigos gerados aleatoriamente para dois fatores por meio de mensagens de texto SMS é menos seguro do que gerar esses códigos em um aplicativo móvel dedicado, porque os invasores têm métodos para comprometer os números de telefone dos alvos e interceptar suas mensagens de texto. Principalmente como uma medida de economia de custos, empresas como a X, anteriormente conhecida como Twitter, reduziram suas ofertas de SMS de dois fatores. Mas Swanson diz que ele e seus colegas do GitHub estudaram a escolha cuidadosamente e concluíram que era mais importante oferecer várias opções de dois fatores do que adotar uma linha dura na entrega do código SMS. Qualquer segundo fator é melhor do que nada. O GitHub também oferece e promove alternativas como o uso de um aplicativo de autenticação de geração de código, autenticação baseada em mensagens push móveis ou um token de autenticação de hardware. A empresa também adicionou recentemente suporte para senhas.
O ponto principal é que, de uma forma ou de outra, todos os 100 milhões de usuários do GitHub vão acabar ativando o 2FA, se ainda não o fizeram. Antes de iniciar o lançamento, Swanson e sua equipe passaram um tempo significativo estudando a experiência do usuário de dois fatores. Eles revisaram o fluxo de integração para tornar mais difícil para os usuários configurar incorretamente seus dois fatores, uma das principais causas de bloqueio de contas de clientes. O processo incluiu mais ênfase em itens como baixar códigos de recuperação de backup para que as pessoas tenham uma rede de segurança para acessar suas contas caso percam o acesso. A empresa também examinou sua capacidade de suporte para garantir que poderia responder às perguntas e preocupações sem problemas.
.
