近日 ����,代碼托管 平臺 GitHub于當?shù)貢r間8月13 日周五 這天 正式 廢棄 了基于 密碼 的Git身份 考證 ����。
從09 :00 PST (PST 是北美 安定 洋規(guī)范 時間 ,北京時間 14 日0點)開端 ����,運用 GitHub開發(fā)者 將需求 切換 到基于 令牌 的身份 考證 去執(zhí)行 Git操作 ,基于 令牌 的認證 包括 個人 接入 、OAuth�����、SSHKey活GitHubApp裝置 令牌 �。
此前 在2020 年12 月15 日,GitHub就在官方 博客 上宣布 :”從2021 年8月13 日開端 ���,在GitHub.com 上執(zhí)行 Git操作 時���,不再 承受 以賬戶 密碼 的方式 完成 身份 考證 。”
改換 身份 考證 方式 的緣由
實踐 上早在2020 年7月30 日�,GitHub也曾表示 :“將在一切 需求 身份 考證 的Git操作 中運用 基于 令牌 的考證 機制 ,比方 個人 訪問 ��、OAuth或者 GitHubApp裝置 令牌 ��。
假如 用戶 目前 正在 運用 密碼 經過 GitHub.com 對Git操作 停止 身份 考證 ���,則將很快 收到 一封電子郵件 ����,敦促 用戶 更新 身份 考證 辦法 或第三方 客戶端 �����。”
同時 官方 也給出 了改換 身份 考證 方式 的時間 布置 :
2020 年7月30 日——假如 用戶 如今 運用 密碼 經過 API 停止 身份 考證 ���,可能 會收到 一封電子郵件 ��,敦促 用戶 更新 身份 考證 辦法 或第三方 客戶端 �����。
2020 年9月30 日和 10 月28 日——一切 API 操作 都將暫時 需求 個人 訪問 或OAuth令牌 ���,以鼓舞 用戶 更新 其身份 考證 辦法 。
2020 年11 月13 日——一切 經過 RESTAPI停止 身份 考證 的操作 都需求 個人 訪問 或OAuth令牌 (運用 GraphQLAPI停止 身份 考證 曾經 需求 個人 訪問 令牌 )���。
2021 年中期 –——一切 經過 身份 考證 的Git操作 都需求 個人 訪問權限 或OAuth令牌 ���。
GitHub官方 以為 ,近年來 受益 于GitHub.com 的許多 平安 加強 功用 �����,例如 雙要素 身份 考證 ��、登錄 警報 、經過 考證 的設備 ����、避免 運用 受損 密碼 和WebAuthn支持 。
這些 功用 使攻擊者 很難 在多個 網站 上獲取 反復 運用 的密碼 并運用 它來嘗試 訪問 用戶 的GitHub帳戶 �。
雖然 這些 平安 考證 方式 有了 一些 改良 ,但是 由于 歷史 緣由 ���,未啟用 雙要素 身份 考證 的客戶 仍可以 運用 其GitHub用戶名 和密碼 繼續(xù) 對Git和API 操作 停止 身份 考證 ��,
招致 這局部 用戶賬戶 平安 遭到 要挾 ��。
而且 GitHub也以為 與基于 密碼 的身份 考證 相比 ����,令牌 的運用 提供 了許多 平安 優(yōu)勢 :
獨一 性——令牌 特定 于GitHub��,可按運用 次數(shù) 或按設備 生成 �。
可撤銷 ——能夠 隨時 單獨 撤銷 令牌 ,不需求 更新 未受影響的憑據(jù)
有限性 ——令牌 的運用 范圍 嚴厲 控制 ��,僅允許 執(zhí)行 用例 中需求 的訪問 活動
隨機性 ——令牌 的復雜度 遠高于 用戶 設計 的簡單 密碼 ���,因而 不受 暴力破解 等行為 的影響 ����。
啟動 最新 身份 考證 方式 的影響
工作流程 受影響
命令行 Git訪問
運用 Git的桌面應用程序 (GitHubDesktop不受影響)
運用 用戶 的密碼 直接 訪問 GitHub.com 上的Git存儲 庫的任何 應用程序 /效勞
不受 更改 的影響 :
假如 用戶 的帳戶 啟用 了雙要素 身份 考證 ,需求 運用 基于 令牌 或基于 SSH 的身份 考證 ���。
假如 用戶 運用 GitHubEnterpriseServer,對此 不受影響���。
假如 用戶 維護 一個 GitHubApp�,GitHubApps不支持 密碼 認證 ���。
用戶需求做什么
關于 開發(fā)人員 �,假如 用戶 如今 需求 運用 密碼 對GitHub.com 的Git操作 停止 身份 考證 ���,則必需 在2021 年8月13 日之前 經過 HTTPS (引薦 )或SSH 密鑰 開端 運用 個人 訪問 令牌 �����,以防止 中綴 ���。
假如 用戶 收到 郵件 提示 ,提示 運用 的是過時 的第三方 集成 �,則應將客戶端 更新 到最新版本 ��。
關于 集成商 ,必需 在2021 年8月13 日之前 運用 網絡 或設備 受權 流程 對集成 停止 身份 考證 ��,以防止 中綴 ����。
有關 更多信息 ,請參閱 授OAuth應用程序 和開發(fā)者 博客 上的公告 �。
能夠 啟用 兩要素 身份 考證 ,假如 用戶 想確保 本人 帳戶 不允許基于 密碼 的身份 考證 �,能夠 立刻 啟用 雙要素 身份 考證 。
這將請求 用戶 經過 Git和第三方 集成 對一切 經過 身份 考證 的操作 運用 個人 訪問 令牌 �����。
