A partir de março de 2023, o GitHub exigiu que todos os usuários que contribuem com código do GitHub.com habilitem uma ou mais formas de autenticação de dois fatores (2FA). Se você estiver em um grupo qualificado, deve ter recebido um email de notificação quando esse grupo foi selecionado para inscrição, marcando o início de um período de registro de 45 dias para o 2FA. E você deve ter visto banners solicitando seu registro no 2FA no GitHub.com. Se você não recebeu uma notificação, é porque não fazia parte de um grupo de quem é exigido habilitar o 2FA, embora seja altamente recomendável.
Sobre a elegibilidade para a 2FA obrigatória
Sua conta será selecionada para a 2FA obrigatória se você tiver realizado alguma ação no GitHub que mostre que você é um contribuidor. As ações elegíveis incluem:
- Publicar um aplicativo ou realizar uma ação para outras pessoas
- Criar uma versão para seu repositório
- Contribuir para repositórios específicos de alta prioridade, como os projetos controlados pela Open Source Security Foundation
- Ser administrador ou contribuidor de um repositório de alta prioridade
- Ser proprietário de uma organização que contém repositórios ou outros usuários
- Ser um administrador ou contribuidor de repositórios que publicaram um ou mais pacotes
- Ser um administrador corporativo
O GitHub avalia continuamente melhorias nos recursos de segurança de nossas contas e nos requisitos da 2FA. Portanto, esses critérios podem sofrer alterações com o tempo.
Observação: se sua conta tiver um cupom educativo ativo, ela estará isenta da 2FA obrigatória.
Sobre a 2FA obrigatória para organizações e empresas
A 2FA obrigatória é exigida pelo próprio GitHub com a finalidade de melhorar a segurança tanto para desenvolvedores individuais quanto para o ecossistema mais amplo de desenvolvimento de software. Seu administrador também pode exigir a habilitação da 2FA como um requisito para ingressar em sua organização ou empresa, mas esses requisitos são separados desse programa. Para encontrar quais usuários habilitaram a autenticação em dois fatores ou são obrigados a fazê-lo, consulte "Visualizar pessoas na sua empresa" ou "Ver se os usuários da organização habilitaram a 2FA".
A elegibilidade da sua conta para a 2FA obrigatória não afeta a elegibilidade de outros indivíduos. Por exemplo, se você for proprietário de uma organização e sua conta for elegível para a 2FA obrigatória, isso não afetará a elegibilidade de outras contas em sua organização.
Observação: os Enterprise Managed Users do GitHub e os usuários locais do GitHub Enterprise Server não são obrigados a habilitar a 2FA. A habilitação obrigatória da 2FA se aplica somente a usuários com senha no GitHub.com.
Sobre não habilitar a 2FA obrigatória
Se você não habilitar a 2FA no período de configuração de 45 dias e permitir a expiração do período de carência de sete dias, você não poderá acessar o GitHub.com até habilitar a 2FA. Caso tente acessar o GitHub.com, você será solicitado a habilitar a 2FA.
Se você não habilitar a 2FA obrigatória, os tokens que pertencem à sua conta continuarão a funcionar, pois são usados em automação crítica. Esses tokens incluem personal access tokens e tokens OAuth emitidos para que os aplicativos ajam em seu nome. Habilitar a 2FA não revogará nem alterará o comportamento dos tokens emitidos para sua conta. No entanto, as contas bloqueadas não poderão autorizar novos aplicativos ou criar novos PATs até que habilitem a 2FA.
Sobre os métodos de 2FA exigidos
Recomendamos configurar um aplicativo de senhas avulsas por tempo limitado (TOTP) como seu método de 2FA principal e adicionar uma chave de acesso ou uma chave de segurança como backup. Se você não possui uma chave de acesso ou uma chave de segurança, o aplicativo GitHub Mobile também é uma boa opção de backup. O SMS é confiável na maioria dos países, mas apresenta riscos de segurança com os quais alguns modelos de riscos podem não funcionar.
No momento, não oferecemos suporte a chaves de acesso ou a chaves de segurança como métodos de 2FA principais, pois elas são fáceis de perder e não oferecem suporte à sincronização em uma ampla variedade de dispositivos. À medida que as chaves de acesso forem adotadas mais amplamente e o suporte à sincronização for mais prevalente, elas passarão a ser válidas como método principal.
- Sobre aplicativos TOTP e a 2FA obrigatória
- Sobre o SSO do SAML e a 2FA obrigatória
- Sobre a verificação de email e a 2FA obrigatória
Observação: recomendamos manter os cookies em GitHub.com. Se você definir seu Browser para limpar os cookies todos os dias, você nunca terá um dispositivo verificado para fins de recuperação de conta, pois o cookie _device_id
é usado para comprovar com segurança que você usou esse dispositivo anteriormente. Para obter mais informações, confira "Recuperar sua conta ao perder as credenciais 2FA".
Sobre aplicativos TOTP e a 2FA obrigatória
Os aplicativos TOTP são o fator de 2FA recomendado para o GitHub. Para obter mais informações sobre como configurar aplicativos TOTP, confira "Configurar a autenticação de dois fatores".
Se você não quiser fazer o download de um aplicativo em seu dispositivo móvel, existem várias opções de aplicativos TOTP independentes que podem ser executados em várias plataformas. Para aplicativos da área de trabalho, recomendamos o KeePassXC e, para plug-ins baseados em browser, recomendamos o 1Password.
Você também pode configurar manualmente qualquer aplicativo que gere um código compatível com a RFC 6238. Para obter mais informações sobre como configurar manualmente um aplicativo TOTP, confira “Configurar a autenticação de dois fatores”. Para obter mais informações sobre a RFC 6238, consulte TOTP: algoritmo de senhas avulsas por tempo limitado na documentação do IETF.
Observação: caso esteja usando o FreeOTP para a 2FA, você poderá visualizar um aviso sobre parâmetros criptográficos fracos. O GitHub usa um segredo de 80 bits para garantir compatibilidade com versões mais antigas do Google Authenticator. 80 bits é inferior aos 128 bits recomendados pela RFC do HOTP, mas, no momento, não há planos de alterar isso e recomendamos ignorar essa mensagem. Para obter mais informações, confira HOTP: um algoritmo de senhas avulsas baseado em HMAC na documentação do IETF.
Sobre o SSO do SAML e a 2FA obrigatória
Se você foi selecionado para a 2FA obrigatória, é necessário se inscrever na 2FA em GitHub.com mesmo que sua empresa já exija logon único (SSO) com 2FA. Embora o SSO com a 2FA seja uma maneira avançada de proteger os recursos pertencentes à organização ou à empresa, ele não protege o conteúdo pertencente ao usuário no GitHub.com que não está relacionado a uma organização ou a uma empresa, nem protege as configurações ou o perfil de um usuário.
O GitHub requer somente que você execute a 2FA na autenticação inicial e para ações confidenciais, portanto, mesmo que você precise executar a 2FA corporativa todos os dias para acessar o GitHub, raramente terá de executar a 2FA uma segunda vez no GitHub. Para obter mais informações sobre ações confidenciais, confira "Modo sudo."
Sobre a verificação de email e a 2FA obrigatória
Quando você faz logon no GitHub.com, a verificação de email não conta como uma 2FA. O endereço de email da sua conta é usado para redefinições de senha, que são uma forma de recuperação de contas. Se um invasor tiver acesso à sua caixa de entrada de email, ele poderá redefinir a senha da conta e passar na verificação do dispositivo de email, reduzindo a proteção da conta a um único fator. Exigimos um segundo fator para evitar esse cenário, portanto, esse segundo fator deve ser diferente da sua caixa de entrada de email. Quando você habilitar a 2FA, não realizaremos mais a verificação de email no logon.
Sobre contas de serviço e 2FA obrigatória
As contas de acesso não assistido ou compartilhado em sua organização selecionadas para autenticação obrigatória de dois fatores, como bots e contas de serviço, devem se inscrever no 2FA. A habilitação da 2FA não vai revogar nem alterar o comportamento dos tokens emitidos para sua conta de serviço. O GitHub recomenda armazenar o segredo TOTP da conta de serviço de modo seguro no armazenamento de credenciais compartilhadas. Para obter mais informações, confira "Como gerenciar bots e contas de serviço com autenticação de dois fatores".
Sobre sua privacidade com a 2FA obrigatória
Se você foi selecionado para a 2FA obrigatória, isso não significa que você deve fornecer seu número de telefone ao GitHub. Basta fornecer somente seu número de telefone se você usa SMS como método de 2FA. Em vez disso, recomendamos configurar um aplicativo TOTP como método de 2FA principal. Para obter mais informações, confira "Configurar a autenticação de dois fatores".
Observação: sua região pode não estar listada nas opções de SMS disponíveis. Monitoramos as taxas de sucesso de entrega de SMS por região e não permitimos a configuração em regiões com taxas de entrega baixas. Se sua região não estiver na lista, você deverá configurar um aplicativo TOTP como alternativa. Para obter mais informações sobre as regiões com suporte a SMS, confira "Países em que a autenticação SMS é aceita".