近日 ���,代碼托管 平臺(tái) GitHub于當(dāng)?shù)貢r(shí)間8月13 日周五 這天 正式 廢棄 了基于 密碼 的Git身份 考證 。
從09 :00 PST (PST 是北美 安定 洋規(guī)范 時(shí)間 ���,北京時(shí)間 14 日0點(diǎn))開(kāi)端 ��,運(yùn)用 GitHub開(kāi)發(fā)者 將需求 切換 到基于 令牌 的身份 考證 去執(zhí)行 Git操作 ���,基于 令牌 的認(rèn)證 包括 個(gè)人 接入 、OAuth�、SSHKey活GitHubApp裝置 令牌 。
此前 在2020 年12 月15 日���,GitHub就在官方 博客 上宣布 :”從2021 年8月13 日開(kāi)端 ��,在GitHub.com 上執(zhí)行 Git操作 時(shí)���,不再 承受 以賬戶 密碼 的方式 完成 身份 考證 ���。”
改換 身份 考證 方式 的緣由
實(shí)踐 上早在2020 年7月30 日,GitHub也曾表示 :“將在一切 需求 身份 考證 的Git操作 中運(yùn)用 基于 令牌 的考證 機(jī)制 ����,比方 個(gè)人 訪問(wèn) 、OAuth或者 GitHubApp裝置 令牌 ����。
假如 用戶 目前 正在 運(yùn)用 密碼 經(jīng)過(guò) GitHub.com 對(duì)Git操作 停止 身份 考證 ,則將很快 收到 一封電子郵件 �����,敦促 用戶 更新 身份 考證 辦法 或第三方 客戶端 �����。”
同時(shí) 官方 也給出 了改換 身份 考證 方式 的時(shí)間 布置 :
2020 年7月30 日——假如 用戶 如今 運(yùn)用 密碼 經(jīng)過(guò) API 停止 身份 考證 �����,可能 會(huì)收到 一封電子郵件 ���,敦促 用戶 更新 身份 考證 辦法 或第三方 客戶端 ���。
2020 年9月30 日和 10 月28 日——一切 API 操作 都將暫時(shí) 需求 個(gè)人 訪問(wèn) 或OAuth令牌 ��,以鼓舞 用戶 更新 其身份 考證 辦法 �����。
2020 年11 月13 日——一切 經(jīng)過(guò) RESTAPI停止 身份 考證 的操作 都需求 個(gè)人 訪問(wèn) 或OAuth令牌 (運(yùn)用 GraphQLAPI停止 身份 考證 曾經(jīng) 需求 個(gè)人 訪問(wèn) 令牌 )����。
2021 年中期 –——一切 經(jīng)過(guò) 身份 考證 的Git操作 都需求 個(gè)人 訪問(wèn)權(quán)限 或OAuth令牌 �����。
GitHub官方 以為 �,近年來(lái) 受益 于GitHub.com 的許多 平安 加強(qiáng) 功用 ����,例如 雙要素 身份 考證 、登錄 警報(bào) ����、經(jīng)過(guò) 考證 的設(shè)備 、避免 運(yùn)用 受損 密碼 和WebAuthn支持 。
這些 功用 使攻擊者 很難 在多個(gè) 網(wǎng)站 上獲取 反復(fù) 運(yùn)用 的密碼 并運(yùn)用 它來(lái)嘗試 訪問(wèn) 用戶 的GitHub帳戶 �。
雖然 這些 平安 考證 方式 有了 一些 改良 ,但是 由于 歷史 緣由 ��,未啟用 雙要素 身份 考證 的客戶 仍可以 運(yùn)用 其GitHub用戶名 和密碼 繼續(xù) 對(duì)Git和API 操作 停止 身份 考證 ���,
招致 這局部 用戶賬戶 平安 遭到 要挾 �����。
而且 GitHub也以為 與基于 密碼 的身份 考證 相比 ���,令牌 的運(yùn)用 提供 了許多 平安 優(yōu)勢(shì) :
獨(dú)一 性——令牌 特定 于GitHub,可按運(yùn)用 次數(shù) 或按設(shè)備 生成 ��。
可撤銷 ——能夠 隨時(shí) 單獨(dú) 撤銷 令牌 ��,不需求 更新 未受影響的憑據(jù)
有限性 ——令牌 的運(yùn)用 范圍 嚴(yán)厲 控制 �����,僅允許 執(zhí)行 用例 中需求 的訪問(wèn) 活動(dòng)
隨機(jī)性 ——令牌 的復(fù)雜度 遠(yuǎn)高于 用戶 設(shè)計(jì) 的簡(jiǎn)單 密碼 ���,因而 不受 暴力破解 等行為 的影響 �����。
啟動(dòng) 最新 身份 考證 方式 的影響
工作流程 受影響
命令行 Git訪問(wèn)
運(yùn)用 Git的桌面應(yīng)用程序 (GitHubDesktop不受影響)
運(yùn)用 用戶 的密碼 直接 訪問(wèn) GitHub.com 上的Git存儲(chǔ) 庫(kù)的任何 應(yīng)用程序 /效勞
不受 更改 的影響 :
假如 用戶 的帳戶 啟用 了雙要素 身份 考證 ��,需求 運(yùn)用 基于 令牌 或基于 SSH 的身份 考證 �����。
假如 用戶 運(yùn)用 GitHubEnterpriseServer�,對(duì)此 不受影響。
假如 用戶 維護(hù) 一個(gè) GitHubApp��,GitHubApps不支持 密碼 認(rèn)證 ���。
用戶需求做什么
關(guān)于 開(kāi)發(fā)人員 ,假如 用戶 如今 需求 運(yùn)用 密碼 對(duì)GitHub.com 的Git操作 停止 身份 考證 �,則必需 在2021 年8月13 日之前 經(jīng)過(guò) HTTPS (引薦 )或SSH 密鑰 開(kāi)端 運(yùn)用 個(gè)人 訪問(wèn) 令牌 ,以防止 中綴 ��。
假如 用戶 收到 郵件 提示 ���,提示 運(yùn)用 的是過(guò)時(shí) 的第三方 集成 ����,則應(yīng)將客戶端 更新 到最新版本 。
關(guān)于 集成商 ��,必需 在2021 年8月13 日之前 運(yùn)用 網(wǎng)絡(luò) 或設(shè)備 受權(quán) 流程 對(duì)集成 停止 身份 考證 ��,以防止 中綴 �����。
有關(guān) 更多信息 ����,請(qǐng)參閱 授OAuth應(yīng)用程序 和開(kāi)發(fā)者 博客 上的公告 。
能夠 啟用 兩要素 身份 考證 �����,假如 用戶 想確保 本人 帳戶 不允許基于 密碼 的身份 考證 ����,能夠 立刻 啟用 雙要素 身份 考證 。
這將請(qǐng)求 用戶 經(jīng)過(guò) Git和第三方 集成 對(duì)一切 經(jīng)過(guò) 身份 考證 的操作 運(yùn)用 個(gè)人 訪問(wèn) 令牌 ���。
