近日 �����,代碼托管 平臺(tái) GitHub于當(dāng)?shù)貢r(shí)間8月13 日周五 這天 正式 廢棄 了基于 密碼 的Git身份 考證 。
從09 :00 PST (PST 是北美 安定 洋規(guī)范 時(shí)間 ����,北京時(shí)間 14 日0點(diǎn))開(kāi)端 ,運(yùn)用 GitHub開(kāi)發(fā)者 將需求 切換 到基于 令牌 的身份 考證 去執(zhí)行 Git操作 �,基于 令牌 的認(rèn)證 包括 個(gè)人 接入 、OAuth�����、SSHKey活GitHubApp裝置 令牌 ����。
此前 在2020 年12 月15 日,GitHub就在官方 博客 上宣布 :”從2021 年8月13 日開(kāi)端 ��,在GitHub.com 上執(zhí)行 Git操作 時(shí)���,不再 承受 以賬戶(hù) 密碼 的方式 完成 身份 考證 。”
改換 身份 考證 方式 的緣由
實(shí)踐 上早在2020 年7月30 日��,GitHub也曾表示 :“將在一切 需求 身份 考證 的Git操作 中運(yùn)用 基于 令牌 的考證 機(jī)制 ���,比方 個(gè)人 訪問(wèn) ���、OAuth或者 GitHubApp裝置 令牌 �。
假如 用戶(hù) 目前 正在 運(yùn)用 密碼 經(jīng)過(guò) GitHub.com 對(duì)Git操作 停止 身份 考證 ����,則將很快 收到 一封電子郵件 ,敦促 用戶(hù) 更新 身份 考證 辦法 或第三方 客戶(hù)端 ��。”
同時(shí) 官方 也給出 了改換 身份 考證 方式 的時(shí)間 布置 :
2020 年7月30 日——假如 用戶(hù) 如今 運(yùn)用 密碼 經(jīng)過(guò) API 停止 身份 考證 �����,可能 會(huì)收到 一封電子郵件 ���,敦促 用戶(hù) 更新 身份 考證 辦法 或第三方 客戶(hù)端 �。
2020 年9月30 日和 10 月28 日——一切 API 操作 都將暫時(shí) 需求 個(gè)人 訪問(wèn) 或OAuth令牌 ���,以鼓舞 用戶(hù) 更新 其身份 考證 辦法 �。
2020 年11 月13 日——一切 經(jīng)過(guò) RESTAPI停止 身份 考證 的操作 都需求 個(gè)人 訪問(wèn) 或OAuth令牌 (運(yùn)用 GraphQLAPI停止 身份 考證 曾經(jīng) 需求 個(gè)人 訪問(wèn) 令牌 )�����。
2021 年中期 –——一切 經(jīng)過(guò) 身份 考證 的Git操作 都需求 個(gè)人 訪問(wèn)權(quán)限 或OAuth令牌 。
GitHub官方 以為 ����,近年來(lái) 受益 于GitHub.com 的許多 平安 加強(qiáng) 功用 ,例如 雙要素 身份 考證 �、登錄 警報(bào) 、經(jīng)過(guò) 考證 的設(shè)備 �、避免 運(yùn)用 受損 密碼 和WebAuthn支持 。
這些 功用 使攻擊者 很難 在多個(gè) 網(wǎng)站 上獲取 反復(fù) 運(yùn)用 的密碼 并運(yùn)用 它來(lái)嘗試 訪問(wèn) 用戶(hù) 的GitHub帳戶(hù) ����。
雖然 這些 平安 考證 方式 有了 一些 改良 ,但是 由于 歷史 緣由 �����,未啟用 雙要素 身份 考證 的客戶(hù) 仍可以 運(yùn)用 其GitHub用戶(hù)名 和密碼 繼續(xù) 對(duì)Git和API 操作 停止 身份 考證 ����,
招致 這局部 用戶(hù)賬戶(hù) 平安 遭到 要挾 。
而且 GitHub也以為 與基于 密碼 的身份 考證 相比 �����,令牌 的運(yùn)用 提供 了許多 平安 優(yōu)勢(shì) :
獨(dú)一 性——令牌 特定 于GitHub�����,可按運(yùn)用 次數(shù) 或按設(shè)備 生成 ���。
可撤銷(xiāo) ——能夠 隨時(shí) 單獨(dú) 撤銷(xiāo) 令牌 ��,不需求 更新 未受影響的憑據(jù)
有限性 ——令牌 的運(yùn)用 范圍 嚴(yán)厲 控制 �,僅允許 執(zhí)行 用例 中需求 的訪問(wèn) 活動(dòng)
隨機(jī)性 ——令牌 的復(fù)雜度 遠(yuǎn)高于 用戶(hù) 設(shè)計(jì) 的簡(jiǎn)單 密碼 ����,因而 不受 暴力破解 等行為 的影響 。
啟動(dòng) 最新 身份 考證 方式 的影響
工作流程 受影響
命令行 Git訪問(wèn)
運(yùn)用 Git的桌面應(yīng)用程序 (GitHubDesktop不受影響)
運(yùn)用 用戶(hù) 的密碼 直接 訪問(wèn) GitHub.com 上的Git存儲(chǔ) 庫(kù)的任何 應(yīng)用程序 /效勞
不受 更改 的影響 :
假如 用戶(hù) 的帳戶(hù) 啟用 了雙要素 身份 考證 �����,需求 運(yùn)用 基于 令牌 或基于 SSH 的身份 考證 �����。
假如 用戶(hù) 運(yùn)用 GitHubEnterpriseServer���,對(duì)此 不受影響�。
假如 用戶(hù) 維護(hù) 一個(gè) GitHubApp�,GitHubApps不支持 密碼 認(rèn)證 �����。
用戶(hù)需求做什么
關(guān)于 開(kāi)發(fā)人員 �����,假如 用戶(hù) 如今 需求 運(yùn)用 密碼 對(duì)GitHub.com 的Git操作 停止 身份 考證 ����,則必需 在2021 年8月13 日之前 經(jīng)過(guò) HTTPS (引薦 )或SSH 密鑰 開(kāi)端 運(yùn)用 個(gè)人 訪問(wèn) 令牌 ��,以防止 中綴 �。
假如 用戶(hù) 收到 郵件 提示 ,提示 運(yùn)用 的是過(guò)時(shí) 的第三方 集成 �,則應(yīng)將客戶(hù)端 更新 到最新版本 。
關(guān)于 集成商 ��,必需 在2021 年8月13 日之前 運(yùn)用 網(wǎng)絡(luò) 或設(shè)備 受權(quán) 流程 對(duì)集成 停止 身份 考證 ��,以防止 中綴 ��。
有關(guān) 更多信息 �����,請(qǐng)參閱 授OAuth應(yīng)用程序 和開(kāi)發(fā)者 博客 上的公告 。
能夠 啟用 兩要素 身份 考證 ���,假如 用戶(hù) 想確保 本人 帳戶(hù) 不允許基于 密碼 的身份 考證 ,能夠 立刻 啟用 雙要素 身份 考證 ��。
這將請(qǐng)求 用戶(hù) 經(jīng)過(guò) Git和第三方 集成 對(duì)一切 經(jīng)過(guò) 身份 考證 的操作 運(yùn)用 個(gè)人 訪問(wèn) 令牌 ����。
