Bleeping Computerは12月26日(米国時間)、「GitHub warns users to enable 2FA before upcoming deadline」において、GitHubが二要素認証(2FA: Two-Factor Authentication)の義務化期限が2024年1月19日に迫ったとして、未設定のすべてのユーザーに警告したと報じた。
2024年1月19日0時0分(協定世界時)までに二要素認証有効化が必要
GitHubは5月4日、公式ブログ「Software security starts with the developer: Securing developer accounts with 2FA - The GitHub Blog」において、すべてのGitHubユーザーに1つ以上の二要素認証の有効化を義務付けることを発表。この期限は2023年末までとしており、ほぼ予定通りに実施することになる。なお、この規制はGitHub.comのみとされ、ビジネスアカウントおよびエンタープライズアカウントには適用されない。
Bleeping Computerによると、セキュリティ要件に該当するユーザのうち二要素認証を有効化していないユーザーにGitHubからメールが送られたという。メールには2024年1月19日0時0分(協定世界時)までに二要素認証を有効化する必要があり、有効化しないとアカウントが制限されることが記載されていたとしている。また、GitHubにログインした際にも同様の警告が画面上に表示されるという。
2024年1月19日0時0分を過ぎたらどうなる?
期限を過ぎても構成されたパーソナルアクセストークン、SSHキー、アプリは引き続き使用できるとされる。新しいアカウントの作成や、設定を変更する場合は二要素認証を有効化する必要がある。
また、二要素認証の資格情報を失った場合はアカウントにアクセスできなくなる可能性があるため、GitHubは2つ以上の二要素認証を有効化することを推奨している。すべての二要素認証の資格情報を失った場合はリカバリコードのみが唯一の回復手段となるため、印刷して保管しておくことが望まれている。