GitHubが二要素認証を義務付け。2023年中にすべての開発者アカウントへ通知

　米GitHubは、GitHubにコードを提供しているアカウントに対して順次二要素認証を設定するよう義務付けると発表した。2023年中にはすべてのアカウントに対して通知と登録を促すとしている。

　2022年5月に告知していた開発者保護施策の一環。開発者のアカウントはソーシャルエンジニアリングやアカウントテイクオーバー(乗っ取り)の標的にされやすいことから、アカウントのセキュリティ向上を図る目的で、13日より二要素認証の義務付けを本格展開する。

　GitHubにおいて二要素認証の設定は任意に行なえるが、設定していない場合はGitHubからアカウントに紐づいたメールアドレスへの通知が順次行なわれるほか、ログイン時に二要素認証の設定を促すバナーが表示されるようになる。この状態から二要素認証を設定しないまま45日が経過すると、二要素認証の登録なしにはログインできなくなる。また二要素認証の登録後は、28日以内に一度は二要素認証を使ったログインを実行する必要がある。

　GitHubで利用できる二要素認証はTOTP認証アプリとSMS、セキュリティキー(WebAuthn、パスキーなど)、モバイルアプリ「GitHub Mobile」の4種類。GitHubではTOTPアプリかセキュリティキーの利用を推奨している。