GitHub 废除基于密码的 Git 身份验证-行业动态-江苏鑫云软件科技有限公司

专业靠谱的软件外包伙伴

2021-08-20 01:32:07

近日，代码托管平台 GitHub于当地时间8月13 日周五这天正式废弃了基于密码的Git身份考证。

从09 :00 PST （PST 是北美安定洋规范时间，北京时间 14 日0点）开端，运用 GitHub开发者将需求切换到基于令牌的身份考证去执行 Git操作，基于令牌的认证包括个人接入、OAuth、SSHKey活GitHubApp装置令牌。

此前在2020 年12 月15 日，GitHub就在官方博客上宣布：”从2021 年8月13 日开端，在GitHub.com 上执行 Git操作时，不再承受以账户密码的方式完成身份考证。”

改换身份考证方式的缘由

实践上早在2020 年7月30 日，GitHub也曾表示：“将在一切需求身份考证的Git操作中运用基于令牌的考证机制，比方个人访问、OAuth或者 GitHubApp装置令牌。

假如用户目前正在运用密码经过 GitHub.com 对Git操作停止身份考证，则将很快收到一封电子邮件，敦促用户更新身份考证办法或第三方客户端。”

同时官方也给出了改换身份考证方式的时间布置：

2020 年7月30 日——假如用户如今运用密码经过 API 停止身份考证，可能会收到一封电子邮件，敦促用户更新身份考证办法或第三方客户端。

2020 年9月30 日和 10 月28 日——一切 API 操作都将暂时需求个人访问或OAuth令牌，以鼓舞用户更新其身份考证办法。

2020 年11 月13 日——一切经过 RESTAPI停止身份考证的操作都需求个人访问或OAuth令牌（运用 GraphQLAPI停止身份考证曾经需求个人访问令牌）。

2021 年中期 –——一切经过身份考证的Git操作都需求个人访问权限或OAuth令牌。

GitHub官方以为，近年来受益于GitHub.com 的许多平安加强功用，例如双要素身份考证、登录警报、经过考证的设备、避免运用受损密码和WebAuthn支持。

这些功用使攻击者很难在多个网站上获取反复运用的密码并运用它来尝试访问用户的GitHub帐户。

虽然这些平安考证方式有了一些改良，但是由于历史缘由，未启用双要素身份考证的客户仍可以运用其GitHub用户名和密码继续对Git和API 操作停止身份考证，

招致这局部用户账户平安遭到要挟。

而且 GitHub也以为与基于密码的身份考证相比，令牌的运用提供了许多平安优势：

独一性——令牌特定于GitHub，可按运用次数或按设备生成。

可撤销 ——能够随时单独撤销令牌，不需求更新未受影响的凭据

有限性 ——令牌的运用范围严厉控制，仅允许执行用例中需求的访问活动

随机性 ——令牌的复杂度远高于用户设计的简单密码，因而不受暴力破解等行为的影响。

启动最新身份考证方式的影响

工作流程受影响

命令行 Git访问

运用 Git的桌面应用程序（GitHubDesktop不受影响）

运用用户的密码直接访问 GitHub.com 上的Git存储库的任何应用程序 /效劳

不受更改的影响：

假如用户的帐户启用了双要素身份考证，需求运用基于令牌或基于 SSH 的身份考证。

假如用户运用 GitHubEnterpriseServer，对此不受影响。

假如用户维护一个 GitHubApp，GitHubApps不支持密码认证。

用户需求做什么

关于开发人员，假如用户如今需求运用密码对GitHub.com 的Git操作停止身份考证，则必需在2021 年8月13 日之前经过 HTTPS （引荐）或SSH 密钥开端运用个人访问令牌，以防止中缀。

假如用户收到邮件提示，提示运用的是过时的第三方集成，则应将客户端更新到最新版本。

关于集成商，必需在2021 年8月13 日之前运用网络或设备受权流程对集成停止身份考证，以防止中缀。

有关更多信息，请参阅授OAuth应用程序和开发者博客上的公告。

能够启用两要素身份考证，假如用户想确保本人帐户不允许基于密码的身份考证，能够立刻启用双要素身份考证。

这将请求用户经过 Git和第三方集成对一切经过身份考证的操作运用个人访问令牌。

行业动态