A partir de marzo de 2023, GitHub exigió que todos los usuarios que contribuyan con código en GitHub.com habiliten una o varias formas de autenticación en dos fases (2FA). Si estaba en un grupo elegible, habría recibido un correo electrónico de notificación cuando ese grupo fue seleccionado para la inscripción, marcando el comienzo de un período de inscripción 2FA de 45 días, y vería banners que le pedirán que se inscribiese en 2FA en GitHub.com. Si no recibió una notificación, no formaba parte de un grupo al que se le exige que habilite 2FA, aunque se recomienda encarecidamente.
Acerca de la elegibilidad para la autenticación obligatoria en dos fases
La cuenta está seleccionada para la autenticación obligatoria en dos fases si ha realizado alguna acción en GitHub que muestra que es colaborador. Entre las acciones elegibles se incluyen:
- Publicar una aplicación o acción para otros usuarios
- Crear una versión para el repositorio
- Contribuir a repositorios específicos de alta importancia, como los proyectos a los que Open Source Security Foundation realiza un seguimiento
- Ser administrador o colaborador de un repositorio de gran importancia
- Ser propietario de una organización para una organización que contiene repositorios u otros usuarios
- Ser administrador o colaborador de repositorios que publicaron uno o varios paquetes
- Ser administrador de una empresa
GitHub evalúa continuamente las mejoras en nuestras características de seguridad de cuenta y requisitos de autenticación obligatoria en dos fases, por lo que estos criterios pueden cambiar con el tiempo.
Nota: Si su cuenta tiene un cupón educativo activo, está exento de la autenticación obligatoria en dos fases.
Acerca de la autenticación obligatoria en dos fases para organizaciones y empresas
GitHub requiere autenticación obligatoria en dos fases para mejorar la seguridad tanto para desarrolladores individuales como para el ecosistema de desarrollo de software más amplio. El administrador también puede requerir la habilitación de autenticación en dos fases como requisito para unirse a su organización o empresa, pero esos requisitos son independientes de este programa. Para buscar qué usuarios han habilitado la autenticación de dos factores o deben hacerlo, consulte "Visualizar a las personas en tu empresa" o "Ver si los usuarios en tu organización han habilitado 2FA".
La elegibilidad de su cuenta para la autenticación obligatoria en dos fases no afecta a la elegibilidad de otras personas. Por ejemplo, si es propietario de la organización y su cuenta es elegible para la autenticación obligatoria en dos fases, eso no afecta a la elegibilidad de otras cuentas dentro de su organización.
Nota: Los usuarios de GitHub Enterprise Managed Users y GitHub Enterprise Server local no tienen por qué habilitar la autenticación en dos fases. La habilitación de la autenticación obligatoria en dos fases solo se aplica a los usuarios con una contraseña en GitHub.com.
Acerca de no habilitar la autenticación obligatoria en dos fases
Si no habilita la autenticación en dos fases en el período de configuración de 45 días y permite que expire el período de gracia de 7 días, no podrá acceder a GitHub.com hasta que habilite la autenticación en dos fases. Si intenta acceder a GitHub.com, se le pedirá que habilite la autenticación en dos fases.
Si no habilita la autenticación obligatoria en dos fases, los tokens que pertenecen a su cuenta seguirán funcionando, ya que se usan en la automatización crítica. Estos tokens incluyen personal access tokens y tokens de OAuth emitidos a las aplicaciones para que actúen en su nombre. La habilitación de la autenticación en dos fases no revocará ni cambiará el comportamiento de los tokens emitidos para su cuenta. Sin embargo, las cuentas bloqueadas no podrán autorizar nuevas aplicaciones ni crear nuevas PAT hasta que hayan habilitado la autenticación en dos fases.
Acerca de los métodos de autenticación en dos fases necesarios
Se recomienda configurar una aplicación de contraseñas de un solo uso y duración definida (TOTP) como método de autenticación en dos fases principal y agregar una clave de acceso o una clave de seguridad como copia de seguridad. Si no tiene una clave de paso o una clave de seguridad, la aplicación GitHub Mobile también es una buena opción de backup. SMS es fiable en la mayoría de los países, pero tiene riesgos de seguridad con los que es posible que algunos modelos de amenazas no funcionen.
Actualmente, no se admiten claves de paso ni claves de seguridad como métodos de autenticación en dos fases principales, ya que son fáciles de perder y no admiten la sincronización en una amplia gama de dispositivos. A medida que las claves de paso son más adoptadas y la compatibilidad con la sincronización es más frecuente, se admitirán como método principal.
- Acerca de las aplicaciones TOTP y la autenticación en dos fases obligatoria
- Acerca del inicio de sesión único de SAML y la autenticación en dos fases obligatoria
- Acerca de la verificación de correo electrónico y la autenticación en dos fases obligatoria
Nota: Se recomienda conservar las cookies en GitHub.com. Si establece su navegador para borrar sus cookies todos los días, nunca tendrá un dispositivo verificado con fines de recuperación de cuentas, ya que la _device_id
cookie se usa para demostrar de forma segura que ha usado ese dispositivo anteriormente. Para obtener más información, vea «Recuperar tu cuenta si pierdes tus credenciales 2FA».
Acerca de las aplicaciones TOTP y la autenticación en dos fases obligatoria
Las aplicaciones TOTP son el factor de autenticación en dos fases recomendado para GitHub. Para obtener más información sobre la configuración de las aplicaciones TOTP, consulte "Configurar la autenticación de dos factores".
Si no desea descargar una aplicación en el dispositivo móvil, hay varias opciones para aplicaciones TOTP independientes que se pueden ejecutar en diferentes plataformas. En el caso de las aplicaciones de escritorio, se recomienda KeePassXC y para complementos del explorador, se recomienda 1Password.
También puede configurar manualmente cualquier aplicación que genere un código compatible con RFC 6238. Para obtener más información sobre cómo configurar manualmente una aplicación TOTP, consulte "Configurar la autenticación de dos factores". Para obtener más información sobre RFC 6238, vea TOTP: Time-Based One-Time Password Algorithm en la documentación de IETF.
Nota: Si usa FreeOTP para la autenticación en dos fases, es posible que vea una advertencia sobre parámetros criptográficos débiles. GitHub usa un secreto de 80 bits para garantizar la compatibilidad con versiones anteriores de Google Authenticator. 80 bits es inferior a los 128 bits recomendados por HOTP RFC, pero en este momento no tenemos planes para cambiar esto y recomendamos ignorar este mensaje. Para obtener más información, vea HOTP: An HMAC-Based One-Time Password Algorithm en la documentación de IETF.
Acerca del inicio de sesión único de SAML y la autenticación en dos fases obligatoria
Si es elegible para la autenticación en dos fases obligatoria, debe inscribirse en la autenticación en dos fases en GitHub.com incluso si su empresa ya requiere el inicio de sesión único (SSO) con autenticación en dos fases. Aunque el inicio de sesión único con autenticación en dos fases es una forma eficaz de proteger los recursos de la organización o de la empresa, no protege el contenido propiedad del usuario en GitHub.com no relacionado con una organización o empresa, ni protege el perfil y la configuración de un usuario.
GitHub solo requiere que realice la autenticación en dos fases en la autenticación inicial y para acciones confidenciales, por lo que incluso si tiene que realizar una autenticación en dos fases corporativa todos los días para acceder a GitHub, rara vez tendrá que realizar una autenticación en dos fases por segunda vez con GitHub. Para más información sobre acciones confidenciales, consulte "Modo sudo".
Acerca de la verificación de correo electrónico y la autenticación en dos fases obligatoria
Al iniciar sesión en GitHub.com, la verificación por correo electrónico no cuenta como autenticación en dos fases. La dirección de correo electrónico de la cuenta se usa para los restablecimientos de contraseña, que son una forma de recuperación de la cuenta. Si un atacante tiene acceso a la bandeja de entrada de correo electrónico, puede restablecer la contraseña de su cuenta y superar la comprobación del dispositivo por correo electrónico, lo que reduce la protección de la cuenta a un solo factor. Necesitamos un segundo factor para evitar este escenario, por lo que el segundo factor debe ser distinto de la bandeja de entrada de correo electrónico. Cuando habilite la autenticación en dos fases, ya no realizaremos la comprobación de correo electrónico en el inicio de sesión.
Acerca de las cuentas de servicio y la autenticación en dos fases (2FA) obligatoria
Las cuentas de acceso desatendidas o compartidas de su organización, como bots y cuentas de servicio, seleccionadas para la autenticación obligatoria en dos fases, deben inscribirse en 2FA. La habilitación de la autenticación en dos fases (2FA) no revocará ni cambiará el comportamiento de los tokens emitidos para la cuenta de servicio. GitHub recomienda almacenar de forma segura el secreto TOTP de la cuenta de servicio en el almacenamiento de credenciales compartidos. Para obtener más información, vea «Administración de bots y cuentas de servicio con autenticación en dos fases».
Acerca de su privacidad con la autenticación en dos fases obligatoria
Si ha sido seleccionado para la autenticación en dos fases obligatoria, eso no significa que tenga que proporcionar su número de teléfono a GitHub. Solo tiene que proporcionar su número de teléfono si usa SMS para la autenticación en dos fases. En su lugar, se recomienda configurar una aplicación TOTP como método de autenticación en dos fases principal. Para obtener más información, vea «Configurar la autenticación de dos factores».
Nota: Es posible que su región no aparezca en las opciones de SMS disponibles. Supervisamos las tasas de éxito de entrega de SMS por región y no se permite la configuración en las regiones que tienen tasas de entrega deficientes. Si no ve su región en la lista, debe configurar una aplicación TOTP en su lugar. Para obtener más información sobre las regiones admitidas para SMS, vea "Países donde se admite la autenticación por SMS".