Github废弃账号密码可用于验证Git操作

admin 2021年9月1日23:33:40评论74 views字数 913阅读3分2秒阅读模式


8月12日,GitHub官方宣布从即日开始账号密码将不再为验证Git操作所用。

 

这项改动第一次在去年7月被提出,GitHub称已认证的Git操作能够要求使用SSH密钥或令牌认证。

 

从2020年11月13日开始,GitHub还弃用了通过REST API进行身份验证的密码身份验证。

 

 “从2021年8月13日太平洋标准时间09:00开始,我们在GitHub.com上对Git操作进行身份验证时将不再接受账户密码。”该公司宣称。

 

 “取而代之,所有经过身份验证的Git操作都需要令牌认证(例如,个人访问,OAuth,SSH密钥或GitHub应用程序安装令牌)。”

 

如果您仍在使用用户名和密码来验证Git操作,在明天新规则颁布前,您应该按照以下步骤来防止中断:

 

1.  对于开发人员,如果您现在正在使用密码对GitHub.com的Git操作进行身份验证,则应该在2021年8月13日之前通过HTTPS(推荐)或SSH密钥开始使用个人访问令牌,以避免中断。如果您收到警告,提示您用的是过期第三方集成,则应将客户端更新至最新版本。“


2.  对于集成商,您必须在2021年8月13日之前使用网络或设备授权流程对集成进行身份验证,以避免中断。更多信息请参阅授权OAuth app和开发者博客上的公示。

 

如果您想确保不再使用密码身份验证,可启用双因素身份验证,它需要OAuth或个人访问令牌用于通过Git和第三方集成进行的所有身份验证操作。

 

如果您已经为您的GitHub账号启用双因素身份验证,则您不会收到该身份验证改动的任何影响,因为您已经在使用令牌或SSH身份验证。

 

多年来,GitHub通过添加双因素身份验证、登陆警报、验证设备、阻止使用受损密码和WebAuthn支持来提高账户安全性。

 

用于对Git操作进行强制令牌身份验证,通过防止攻击者使用被盗凭证或重复使用的密码来劫持账户,提高了GitHub账号抵御接管企图攻击的能力。

 

5月,GitHub还增加了对使用FIDO2安全密钥保护SSH Git 操作的支持,以提升对接管企图攻击的保护。




Github废弃账号密码可用于验证Git操作

扫描二维码关注更多
Github废弃账号密码可用于验证Git操作

本文始发于微信公众号(山石网科安全技术研究院):Github废弃账号密码可用于验证Git操作

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年9月1日23:33:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Github废弃账号密码可用于验证Git操作https://cn-sec.com/archives/461991.html

发表评论

匿名网友 填写信息