8月12日,GitHub官方宣布从即日开始账号密码将不再为验证Git操作所用。
这项改动第一次在去年7月被提出,GitHub称已认证的Git操作能够要求使用SSH密钥或令牌认证。
从2020年11月13日开始,GitHub还弃用了通过REST API进行身份验证的密码身份验证。
“从2021年8月13日太平洋标准时间09:00开始,我们在GitHub.com上对Git操作进行身份验证时将不再接受账户密码。”该公司宣称。
“取而代之,所有经过身份验证的Git操作都需要令牌认证(例如,个人访问,OAuth,SSH密钥或GitHub应用程序安装令牌)。”
如果您仍在使用用户名和密码来验证Git操作,在明天新规则颁布前,您应该按照以下步骤来防止中断:
1. 对于开发人员,如果您现在正在使用密码对GitHub.com的Git操作进行身份验证,则应该在2021年8月13日之前通过HTTPS(推荐)或SSH密钥开始使用个人访问令牌,以避免中断。如果您收到警告,提示您用的是过期第三方集成,则应将客户端更新至最新版本。“
2. 对于集成商,您必须在2021年8月13日之前使用网络或设备授权流程对集成进行身份验证,以避免中断。更多信息请参阅授权OAuth app和开发者博客上的公示。
如果您想确保不再使用密码身份验证,可启用双因素身份验证,它需要OAuth或个人访问令牌用于通过Git和第三方集成进行的所有身份验证操作。
如果您已经为您的GitHub账号启用双因素身份验证,则您不会收到该身份验证改动的任何影响,因为您已经在使用令牌或SSH身份验证。
多年来,GitHub通过添加双因素身份验证、登陆警报、验证设备、阻止使用受损密码和WebAuthn支持来提高账户安全性。
用于对Git操作进行强制令牌身份验证,通过防止攻击者使用被盗凭证或重复使用的密码来劫持账户,提高了GitHub账号抵御接管企图攻击的能力。
5月,GitHub还增加了对使用FIDO2安全密钥保护SSH Git 操作的支持,以提升对接管企图攻击的保护。