Github废弃账号密码可用于验证Git操作

  • A+
所属分类:安全闲碎


8月12日,GitHub官方宣布从即日开始账号密码将不再为验证Git操作所用。

 

这项改动第一次在去年7月被提出,GitHub称已认证的Git操作能够要求使用SSH密钥或令牌认证。

 

从2020年11月13日开始,GitHub还弃用了通过REST API进行身份验证的密码身份验证。

 

 “从2021年8月13日太平洋标准时间09:00开始,我们在GitHub.com上对Git操作进行身份验证时将不再接受账户密码。”该公司宣称。

 

 “取而代之,所有经过身份验证的Git操作都需要令牌认证(例如,个人访问,OAuth,SSH密钥或GitHub应用程序安装令牌)。”

 

如果您仍在使用用户名和密码来验证Git操作,在明天新规则颁布前,您应该按照以下步骤来防止中断:

 

1.  对于开发人员,如果您现在正在使用密码对GitHub.com的Git操作进行身份验证,则应该在2021年8月13日之前通过HTTPS(推荐)或SSH密钥开始使用个人访问令牌,以避免中断。如果您收到警告,提示您用的是过期第三方集成,则应将客户端更新至最新版本。“


2.  对于集成商,您必须在2021年8月13日之前使用网络或设备授权流程对集成进行身份验证,以避免中断。更多信息请参阅授权OAuth app和开发者博客上的公示。

 

如果您想确保不再使用密码身份验证,可启用双因素身份验证,它需要OAuth或个人访问令牌用于通过Git和第三方集成进行的所有身份验证操作。

 

如果您已经为您的GitHub账号启用双因素身份验证,则您不会收到该身份验证改动的任何影响,因为您已经在使用令牌或SSH身份验证。

 

多年来,GitHub通过添加双因素身份验证、登陆警报、验证设备、阻止使用受损密码和WebAuthn支持来提高账户安全性。

 

用于对Git操作进行强制令牌身份验证,通过防止攻击者使用被盗凭证或重复使用的密码来劫持账户,提高了GitHub账号抵御接管企图攻击的能力。

 

5月,GitHub还增加了对使用FIDO2安全密钥保护SSH Git 操作的支持,以提升对接管企图攻击的保护。




Github废弃账号密码可用于验证Git操作

扫描二维码关注更多
Github废弃账号密码可用于验证Git操作

本文始发于微信公众号(山石网科安全技术研究院):Github废弃账号密码可用于验证Git操作

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: