近日 ���,代碼托管 平臺 GitHub于當(dāng)?shù)貢r間8月13 日周五 這天 正式 廢棄 了基于 密碼 的Git身份 考證 ���。
從09 :00 PST (PST 是北美 安定 洋規(guī)范 時間 �����,北京時間 14 日0點)開端 ���,運用 GitHub開發(fā)者 將需求 切換 到基于 令牌 的身份 考證 去執(zhí)行 Git操作 ,基于 令牌 的認(rèn)證 包括 個人 接入 ��、OAuth���、SSHKey活GitHubApp裝置 令牌 ���。
此前 在2020 年12 月15 日,GitHub就在官方 博客 上宣布 :”從2021 年8月13 日開端 �����,在GitHub.com 上執(zhí)行 Git操作 時��,不再 承受 以賬戶 密碼 的方式 完成 身份 考證 。”
改換 身份 考證 方式 的緣由
實踐 上早在2020 年7月30 日���,GitHub也曾表示 :“將在一切 需求 身份 考證 的Git操作 中運用 基于 令牌 的考證 機制 ����,比方 個人 訪問 ��、OAuth或者 GitHubApp裝置 令牌 �����。
假如 用戶 目前 正在 運用 密碼 經(jīng)過 GitHub.com 對Git操作 停止 身份 考證 ��,則將很快 收到 一封電子郵件 ��,敦促 用戶 更新 身份 考證 辦法 或第三方 客戶端 �����。”
同時 官方 也給出 了改換 身份 考證 方式 的時間 布置 :
2020 年7月30 日——假如 用戶 如今 運用 密碼 經(jīng)過 API 停止 身份 考證 �,可能 會收到 一封電子郵件 ��,敦促 用戶 更新 身份 考證 辦法 或第三方 客戶端 ����。
2020 年9月30 日和 10 月28 日——一切 API 操作 都將暫時 需求 個人 訪問 或OAuth令牌 �,以鼓舞 用戶 更新 其身份 考證 辦法 �����。
2020 年11 月13 日——一切 經(jīng)過 RESTAPI停止 身份 考證 的操作 都需求 個人 訪問 或OAuth令牌 (運用 GraphQLAPI停止 身份 考證 曾經(jīng) 需求 個人 訪問 令牌 )�����。
2021 年中期 –——一切 經(jīng)過 身份 考證 的Git操作 都需求 個人 訪問權(quán)限 或OAuth令牌 ���。
GitHub官方 以為 ����,近年來 受益 于GitHub.com 的許多 平安 加強 功用 �����,例如 雙要素 身份 考證 ���、登錄 警報 �����、經(jīng)過 考證 的設(shè)備 ���、避免 運用 受損 密碼 和WebAuthn支持 ��。
這些 功用 使攻擊者 很難 在多個 網(wǎng)站 上獲取 反復(fù) 運用 的密碼 并運用 它來嘗試 訪問 用戶 的GitHub帳戶 ���。
雖然 這些 平安 考證 方式 有了 一些 改良 ,但是 由于 歷史 緣由 �,未啟用 雙要素 身份 考證 的客戶 仍可以 運用 其GitHub用戶名 和密碼 繼續(xù) 對Git和API 操作 停止 身份 考證 ,
招致 這局部 用戶賬戶 平安 遭到 要挾 ���。
而且 GitHub也以為 與基于 密碼 的身份 考證 相比 ��,令牌 的運用 提供 了許多 平安 優(yōu)勢 :
獨一 性——令牌 特定 于GitHub��,可按運用 次數(shù) 或按設(shè)備 生成 �����。
可撤銷 ——能夠 隨時 單獨 撤銷 令牌 ,不需求 更新 未受影響的憑據(jù)
有限性 ——令牌 的運用 范圍 嚴(yán)厲 控制 ���,僅允許 執(zhí)行 用例 中需求 的訪問 活動
隨機性 ——令牌 的復(fù)雜度 遠高于 用戶 設(shè)計 的簡單 密碼 �����,因而 不受 暴力破解 等行為 的影響 �����。
啟動 最新 身份 考證 方式 的影響
工作流程 受影響
命令行 Git訪問
運用 Git的桌面應(yīng)用程序 (GitHubDesktop不受影響)
運用 用戶 的密碼 直接 訪問 GitHub.com 上的Git存儲 庫的任何 應(yīng)用程序 /效勞
不受 更改 的影響 :
假如 用戶 的帳戶 啟用 了雙要素 身份 考證 ��,需求 運用 基于 令牌 或基于 SSH 的身份 考證 �����。
假如 用戶 運用 GitHubEnterpriseServer�����,對此 不受影響�。
假如 用戶 維護 一個 GitHubApp,GitHubApps不支持 密碼 認(rèn)證 �。
用戶需求做什么
關(guān)于 開發(fā)人員 ,假如 用戶 如今 需求 運用 密碼 對GitHub.com 的Git操作 停止 身份 考證 �����,則必需 在2021 年8月13 日之前 經(jīng)過 HTTPS (引薦 )或SSH 密鑰 開端 運用 個人 訪問 令牌 ����,以防止 中綴 �����。
假如 用戶 收到 郵件 提示 �,提示 運用 的是過時 的第三方 集成 �����,則應(yīng)將客戶端 更新 到最新版本 ��。
關(guān)于 集成商 �����,必需 在2021 年8月13 日之前 運用 網(wǎng)絡(luò) 或設(shè)備 受權(quán) 流程 對集成 停止 身份 考證 �,以防止 中綴 。
有關(guān) 更多信息 �,請參閱 授OAuth應(yīng)用程序 和開發(fā)者 博客 上的公告 。
能夠 啟用 兩要素 身份 考證 �����,假如 用戶 想確保 本人 帳戶 不允許基于 密碼 的身份 考證 ����,能夠 立刻 啟用 雙要素 身份 考證 。
這將請求 用戶 經(jīng)過 Git和第三方 集成 對一切 經(jīng)過 身份 考證 的操作 運用 個人 訪問 令牌 ��。
