社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
Py学习  »  Git

Github废弃账号密码可用于验证Git操作

山石网科安全技术研究院 • 3 年前 • 374 次点击  


8月12日,GitHub官方宣布从即日开始账号密码将不再为验证Git操作所用。

 

这项改动第一次在去年7月被提出,GitHub称已认证的Git操作能够要求使用SSH密钥或令牌认证。

 

从2020年11月13日开始,GitHub还弃用了通过REST API进行身份验证的密码身份验证。

 

 “从2021年8月13日太平洋标准时间09:00开始,我们在GitHub.com上对Git操作进行身份验证时将不再接受账户密码。”该公司宣称。

 

 “取而代之,所有经过身份验证的Git操作都需要令牌认证(例如,个人访问,OAuth,SSH密钥或GitHub应用程序安装令牌)。”

 

如果您仍在使用用户名和密码来验证Git操作,在明天新规则颁布前,您应该按照以下步骤来防止中断:

 

1.  对于开发人员,如果您现在正在使用密码对GitHub.com的Git操作进行身份验证,则应该在2021年8月13日之前通过HTTPS(推荐)或SSH密钥开始使用个人访问令牌,以避免中断。如果您收到警告,提示您用的是过期第三方集成,则应将客户端更新至最新版本。“


2.  对于集成商,您必须在2021年8月13日之前使用网络或设备授权流程对集成进行身份验证,以避免中断。更多信息请参阅授权OAuth app和开发者博客上的公示。

 

如果您想确保不再使用密码身份验证,可启用双因素身份验证,它需要OAuth或个人访问令牌用于通过Git和第三方集成进行的所有身份验证操作。

 

如果您已经为您的GitHub账号启用双因素身份验证,则您不会收到该身份验证改动的任何影响,因为您已经在使用令牌或SSH身份验证。

 

多年来,GitHub通过添加双因素身份验证、登陆警报、验证设备、阻止使用受损密码和WebAuthn支持来提高账户安全性。

 

用于对Git操作进行强制令牌身份验证,通过防止攻击者使用被盗凭证或重复使用的密码来劫持账户,提高了GitHub账号抵御接管企图攻击的能力。

 

5月,GitHub还增加了对使用FIDO2安全密钥保护SSH Git 操作的支持,以提升对接管企图攻击的保护。






扫描二维码关注更多

Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/118615
 
374 次点击