資(zī)訊

精準傳達 • 有效溝通

從品牌網站建設到網絡營銷策劃,從策略到執行的一(yī)站式服務

GitHub 廢除基于密碼的 Git 身份驗證

來源:公司資(zī)訊 | 2021.08.20

近日 代碼托管 平台 GitHub于當地時間8月13 周五 這天 正式 廢棄 基于 密碼 的Git身份 考證  

09 :00 PST PST 北(běi)美 安定 規範 時間 北(běi)京時間 14 日0點)開(kāi)端 運用 GitHub開(kāi)發者 需求 切換 基于 令牌 身份 考證 去(qù)執行 Git操作 基于 令牌 認證 包括 個人 接入 、OAuth、SSHKey活GitHubApp裝置 令牌 

此前 2020 12 15 日,GitHub就在官方 博客 宣布 :”從2021 年8月13 開(kāi)端 ,在GitHub.com 執行 Git操作 時,不再 承受 賬戶 密碼 方式 完成 身份 考證 。”

改換 身份 考證 方式 緣由

實踐 上早在2020 年7月30 日,GitHub也曾表示 :“将在一(yī)切 需求 身份 考證 的Git操作 中(zhōng)運用 基于 令牌 考證 機制 比方 個人 訪問 、OAuth或者 GitHubApp裝置 令牌  

假如 用戶 目前 正在 運用 密碼 經過 GitHub.com 對Git操作 停止 身份 考證 ,則将很快 收到 一(yī)封電子郵件 敦促 用戶 更新 身份 考證 辦法 第三方 客戶端 。”

同時 官方 給出 改換 身份 考證 方式 時間 布置 

2020 年7月30 日——假如 用戶 如今 運用 密碼 經過 API 停止 身份 考證 可能 收到 一(yī)封電子郵件 敦促 用戶 更新 身份 考證 辦法 第三方 客戶端 

2020 年9月30 日和 10 28 日——一(yī)切 API 操作 都将暫時 需求 個人 訪問 或OAuth令牌 ,以鼓舞 用戶 更新 身份 考證 辦法 

2020 11 13 日——一(yī)切 經過 RESTAPI停止 身份 考證 操作 需求 個人 訪問 或OAuth令牌 運用 GraphQLAPI停止 身份 考證 曾經 需求 個人 訪問 令牌 )。

2021 中(zhōng)期 –——一(yī)切 經過 身份 考證 的Git操作 需求 個人 訪問權限 或OAuth令牌 

GitHub官方 以爲 近年來 受益 于GitHub.com 許多 平安 加強 功用 例如 要素 身份 考證 登錄 警報 經過 考證 設備 避免 運用 受損 密碼 和WebAuthn支持  

這些 功用 使攻擊者 很難 多個 網站 獲取 反複 運用 密碼 運用 它來嘗試 訪問 用戶 的GitHub帳戶  

雖然 這些 平安 考證 方式 有了 一(yī)些 改良 但是 由于 曆史 緣由 ,未啓用 要素 身份 考證 客戶 可以 運用 其GitHub用戶名 密碼 繼續 對Git和API 操作 停止 身份 考證 

招緻 局部 用戶賬戶 平安 遭到 要挾 

而且 GitHub也以爲 基于 密碼 身份 考證 相比 令牌 運用 提供 許多 平安 優勢 

獨一(yī) 性——令牌 特定 于GitHub,可按運用 次數 或按設備 生(shēng)成 

撤銷 ——能夠 随時 單獨 撤銷 令牌 ,不需求 更新 未受影響的憑據

有限性 ——令牌 運用 範圍 嚴厲 控制 ,僅允許 執行 用例 中(zhōng)需求 訪問 活動

随機性 ——令牌 複雜(zá)度 遠高于 用戶 設計 簡單 密碼 因而 不受 暴力破解 行爲 影響 

啓動 最新 身份 考證 方式 影響

工(gōng)作流程 受影響

命令行 Git訪問

運用 Git的桌面應用程序 (GitHubDesktop不受影響)

運用 用戶 密碼 直接 訪問 GitHub.com 上的Git存儲 庫的任何 應用程序 /效勞

不受 更改 影響 

假如 用戶 帳戶 啓用 了雙要素 身份 考證 需求 運用 基于 令牌 基于 SSH 身份 考證 

假如 用戶 運用 GitHubEnterpriseServer,對此 不受影響。

假如 用戶 維護 一(yī)個 GitHubApp,GitHubApps不支持 密碼 認證 

用戶需求做什麽

關于 開(kāi)發人員(yuán) 假如 用戶 如今 需求 運用 密碼 對GitHub.com 的Git操作 停止 身份 考證 ,則必需 2021 年8月13 之前 經過 HTTPS 引薦 )或SSH 密鑰 開(kāi)端 運用 個人 訪問 令牌 ,以防止 中(zhōng)綴  

假如 用戶 收到 郵件 提示 提示 運用 的是過時 第三方 集成 ,則應将客戶端 更新 最新版本 

關于 集成商(shāng) 必需 2021 年8月13 之前 運用 網絡 設備 受權 流程 集成 停止 身份 考證 ,以防止 中(zhōng)綴  

有關 更多信息 請參閱 授OAuth應用程序 開(kāi)發者 博客 上的公告 

能夠 啓用 要素 身份 考證 假如 用戶 确保 本人 帳戶 不允許基于 密碼 身份 考證 能夠 立刻 啓用 要素 身份 考證  

這将請求 用戶 經過 Git和第三方 集成 一(yī)切 經過 身份 考證 操作 運用 個人 訪問 令牌 

—— 靈通雲微信公衆号 ——

熱門标簽

上一(yī)條———————

下(xià)一(yī)條———————

十七年 建站經驗

多一(yī)份參考,總有益處

聯系靈通雲,免費(fèi)獲得專屬《策劃方案》及報價

咨詢相關問題或預約面談,可以通過以下(xià)方式與我(wǒ)們聯系

業務熱線:400-688-6062 / 大(dà)客戶專線   南(nán)通:15818561755