8 月 13 日,GitHub 正式宣布,从当地时间 9 点(北京时间 14 日 0 点) 开始,将不再接受账户密码来验证 Git 操作,所有 Git 操作的认证将基于令牌形式。也就是说,从 8 月 14 日开始,开发者将无法使用密码进行身份验证,也就不能进一步执行 Git 操作。
GitHub 在官方博客表示:"从 2021 年 8 月 13 日 09:00 PST(北京时间 14 日 0 点) 开始,我们在 GitHub.com 上认证 Git 操作时将不再接受账户密码。取而代之的是,所有需要认证的 Git 操作将需要基于令牌的认证。"
受到影响的工作流有:
命令行 Git 访问;
使用 Git 的桌面应用程序(GitHub Desktop 不受影响);
使用密码直接访问 GitHub.com 上各 Git repo 的一切应用程序 / 服务。
如果用户已经启用了双因素身份验证(2FA),则代表已经在使用基于令牌或 SSH 的方式进行身份验证,那么则不受此项变更的影响。
GitHub 官方表示,这一举措是为了提高 Git 操作的安全性,防止密码撞库等事情发生。据 Github 2020 年度开发者报告显示,自 2008 年推出以来,GitHub 已经成为互联网上最大的项目管理和开源协作平台,社区已经拥有 5600 万开发者。因此,随着 GitHub 规模和社区影响力的不断变大,安全变得越来越重要。
为此,GitHub 推出了一系列安全增强功能,来帮助用户提升安全水平,比如双因素身份验证、登录警报、认证设备、防止使用已泄露的密码以及支持 WebAuth 等等。在这些功能的支持下,攻击者将更难于获得已经被用于多个网站的重复密码,无法单纯借此完成密码撞库。
与基于密码的传统身份验证机制相比,令牌保护的安全优势比较明显,令牌的使用范围可以严格控制,且令牌的复杂度远高于用户需要硬性记忆并定期输入的简单密码,因此不受字典或暴力破解等行为的影响。
延伸阅读:
分布式云行业实践指南(2023)
业内首个分布式云行业实践方法论、工具箱。
评论