A partir de marzo de 2023, GitHub exigió que todos los usuarios que contribuyan con código en GitHub.com habiliten una o varias formas de autenticación en dos fases (2FA). Si estaba en un grupo elegible, habría recibido un correo electrónico de notificación cuando ese grupo fue seleccionado para la inscripción, marcando el comienzo de un período de inscripción 2FA de 45 días, y vería banners que le pedirán que se inscribiese en 2FA en GitHub.com. Si no recibió una notificación, no formaba parte de un grupo al que se le exige que habilite 2FA, aunque se recomienda encarecidamente.
Acerca de la elegibilidad para la autenticación obligatoria en dos fases
Tu cuenta ha sido seleccionada para la 2FA obligatoria si has realizado alguna acción en GitHub que demuestre que eres colaborador. Entre las acciones elegibles se incluyen:
-
Publicar una aplicación o acción para otros usuarios
-
Crear un lanzamiento para tu repositorio
-
Contribuir a repositorios específicos de alta importancia, como los proyectos a los que Open Source Security Foundation realiza un seguimiento
-
Ser administrador o colaborador de un repositorio de gran importancia
-
Ser propietario de una organización para una organización que contiene repositorios u otros usuarios
-
Ser administrador o colaborador de repositorios que publicaron uno o varios paquetes
-
Ser administrador de una empresa
GitHub está evaluando continuamente las mejoras en nuestras características de seguridad de cuenta y los requisitos de 2FA, por lo que estos criterios pueden cambiar con el tiempo.
Acerca de la autenticación obligatoria en dos fases para organizaciones y empresas
La 2FA obligatoria es necesaria por GitHub sí misma para mejorar la seguridad tanto para desarrolladores individuales como para el ecosistema de desarrollo de software más amplio. El administrador también puede requerir la habilitación de autenticación en dos fases como requisito para unirse a su organización o empresa, pero esos requisitos son independientes de este programa. Para buscar qué usuarios han habilitado la autenticación de dos factores o deben hacerlo, consulta Visualizar a las personas en tu empresa o Ver si los usuarios en tu organización han habilitado 2FA.
La elegibilidad de su cuenta para la autenticación obligatoria en dos fases no afecta a la elegibilidad de otras personas. Por ejemplo, si es propietario de la organización y su cuenta es elegible para la autenticación obligatoria en dos fases, eso no afecta a la elegibilidad de otras cuentas dentro de su organización.
Nota:
GitHub
Enterprise Managed Users y los usuarios locales GitHub Enterprise Server**no** están obligados a habilitar 2FA. La habilitación obligatoria de 2FA solo se aplica a los usuarios con una contraseña en GitHub.com.
Acerca de no habilitar la autenticación obligatoria en dos fases
Si no habilita 2FA en el período de configuración de 45 días y permite que expire el período de gracia de 7 días, no podrá acceder GitHub.com hasta que habilite 2FA. Si intenta acceder a GitHub.com, se le pedirá habilitar 2FA.
Si no habilita la autenticación obligatoria en dos fases, los tokens que pertenecen a su cuenta seguirán funcionando, ya que se usan en la automatización crítica. Estos tokens incluyen personal access tokens y tokens de OAuth emitidos para que las aplicaciones actúen en su nombre. La habilitación de la autenticación en dos fases no revocará ni cambiará el comportamiento de los tokens emitidos para su cuenta. Sin embargo, las cuentas bloqueadas no podrán autorizar nuevas aplicaciones ni crear nuevas PAT hasta que hayan habilitado la autenticación en dos fases.
Acerca de los métodos necesarios de autenticación de dos factores (2FA)
Se recomienda configurar una aplicación de contraseñas de un solo uso y duración definida (TOTP) como método de autenticación en dos fases principal y agregar una clave de acceso o una clave de seguridad como copia de seguridad. Si no tiene una clave de acceso o una clave de seguridad, la GitHub Mobile aplicación también es una buena opción de copia de seguridad. SMS es fiable en la mayoría de los países, pero tiene riesgos de seguridad con los que es posible que algunos modelos de amenazas no funcionen.
Actualmente, no se admiten claves de paso ni claves de seguridad como métodos de autenticación en dos fases principales, ya que son fáciles de perder y no admiten la sincronización en una amplia gama de dispositivos. A medida que las llaves de acceso se adopten más ampliamente y el soporte de sincronización sea más común, las admitiremos como método principal.
-
[Acerca de las aplicaciones TOTP y la autenticación en dos fases obligatoria](#about-totp-apps-and-mandatory-2fa) -
[Acerca del inicio de sesión único de SAML y la autenticación en dos fases obligatoria](#about-saml-sso-and-mandatory-2fa) -
[Acerca de la verificación de correo electrónico y la autenticación en dos fases obligatoria](#about-email-verification-and-mandatory-2fa)
Nota:
Se recomienda conservar las cookies en GitHub.com. Si establece su navegador para borrar sus cookies todos los días, nunca tendrá un dispositivo verificado con fines de recuperación de cuentas, ya que la _device_id cookie se usa para demostrar de forma segura que ha usado ese dispositivo anteriormente. Para más información, consulta Recuperar tu cuenta si pierdes tus credenciales 2FA.
Acerca de las aplicaciones TOTP y la autenticación en dos fases obligatoria
Las aplicaciones TOTP son el factor 2FA recomendado para GitHub. Para obtener más información sobre la configuración de las aplicaciones TOTP, consulta Configurar la autenticación de dos factores.
Si no desea descargar una aplicación en el dispositivo móvil, hay varias opciones para aplicaciones TOTP independientes que se pueden ejecutar en diferentes plataformas. En el caso de las aplicaciones de escritorio, se recomienda KeePassXC y para complementos del explorador, se recomienda 1Password.
También puede configurar manualmente cualquier aplicación que genere un código compatible con RFC 6238. Para obtener más información sobre cómo configurar manualmente una aplicación TOTP, consulta Configurar la autenticación de dos factores. Para obtener más información sobre RFC 6238, vea TOTP: Time-Based One-Time Password Algorithm en la documentación de IETF.
Nota:
Si usas FreeOTP para la autenticación en dos fases, es posible que vea una advertencia sobre parámetros criptográficos débiles. GitHub usa un secreto de 80 bits para garantizar la compatibilidad con versiones anteriores de Google Authenticator. 80 bits es inferior a los 128 bits recomendados por HOTP RFC, pero en este momento no tenemos planes para cambiar esto y recomendamos ignorar este mensaje. Para obtener más información, vea HOTP: An HMAC-Based One-Time Password Algorithm en la documentación de IETF.
Acerca del inicio de sesión único de SAML y la autenticación en dos fases obligatoria
Si ha sido seleccionado para 2FA obligatorio, debe inscribirse en 2FA en GitHub.com incluso si su empresa ya requiere inicio de sesión único (SSO) con 2FA. Aunque el inicio de sesión único con 2FA es una manera eficaz de proteger los recursos pertenecientes a una organización o empresa, no protege el contenido propiedad del usuario en GitHub.com que no esté relacionado con una organización o empresa, ni protege el perfil y la configuración de un usuario.
GitHub solo requiere que realices 2FA en la autenticación inicial y para acciones sensibles, por lo que incluso si tienes que realizar 2FA corporativa todos los días para acceder a GitHub, rara vez tendrás que realizar 2FA por segunda vez a través de GitHub. Para más información sobre acciones confidenciales, consulta [AUTOTITLE](/authentication/keeping-your-account-and-data-secure/sudo-mode).
Acerca de la verificación de correo electrónico y la autenticación en dos fases obligatoria
Al iniciar sesión en GitHub.com, la comprobación de correo electrónico no cuenta como 2FA. La dirección de correo electrónico de la cuenta se usa para los restablecimientos de contraseña, que son una forma de recuperación de la cuenta. Si un atacante tiene acceso a la bandeja de entrada de correo electrónico, puede restablecer la contraseña de su cuenta y superar la comprobación del dispositivo por correo electrónico, lo que reduce la protección de la cuenta a un solo factor. Necesitamos un segundo factor para evitar este escenario, por lo que el segundo factor debe ser distinto de la bandeja de entrada de correo electrónico. Cuando habilite la autenticación en dos fases, ya no realizaremos la comprobación de correo electrónico en el inicio de sesión.
Acerca de las cuentas de servicio y la autenticación en dos fases (2FA) obligatoria
Las cuentas de acceso desatendidas o compartidas de su organización, como bots y cuentas de servicio, seleccionadas para la autenticación obligatoria en dos fases, deben inscribirse en 2FA. La habilitación de la autenticación en dos fases (2FA) no revocará ni cambiará el comportamiento de los tokens emitidos para la cuenta de servicio. GitHub recomienda almacenar de forma segura el secreto TOTP de la cuenta de servicio en el almacenamiento de credenciales compartidos. Para más información, consulta Administración de bots y cuentas de servicio con autenticación en dos fases.
Acerca de su privacidad con la autenticación en dos fases obligatoria
Si ha sido seleccionado para la 2FA obligatoria, eso no significa que tenga que proporcionar GitHub su número de teléfono. Solo tiene que proporcionar su número de teléfono si usa SMS para la autenticación en dos fases. En su lugar, se recomienda configurar una aplicación TOTP como método de autenticación en dos fases principal. Para más información, consulta Configurar la autenticación de dos factores.
Nota:
Es posible que tu región no aparezca en las opciones de SMS disponibles. Supervisamos las tasas de éxito de entrega de SMS por región y no se permite la configuración en las regiones que tienen tasas de entrega deficientes. Si no ve su región en la lista, debe configurar una aplicación TOTP en su lugar. Para obtener más información sobre las regiones admitidas para SMS, consulta Países donde se admite la autenticación por SMS.