GitHub 今天宣布,从明天开始,将不再接受帐户密码来验证 Git 操作。
这一变化于 去年7 月首次宣布,当时 GitHub 表示经过身份验证的 Git 操作需要使用 SSH 密钥或基于令牌的身份验证。
从 2020 年 11 月 13 日开始,GitHub 还弃用了通过 REST API 进行身份验证的基于密码的身份验证。
该公司表示: “从 2021 年 8 月 13 日太平洋标准时间 09:00 开始,我们在 GitHub.com 上对 Git 操作进行身份验证时将不再接受帐户密码。”
“相反,所有经过身份验证的 Git 操作都需要基于令牌的身份验证(例如,个人访问、OAuth、SSH 密钥或 GitHub 应用程序安装令牌)。”
如果您仍在使用用户名和密码对 Git 操作进行身份验证,则应采取以下步骤以避免在明天颁布新要求时造成中断:
- 对于开发人员,如果您今天使用密码对 GitHub.com 的 Git 操作进行身份验证,则必须在 2021 年 8 月 13 日之前通过 HTTPS(推荐)或 SSH 密钥开始使用个人访问令牌,以避免中断。如果您收到警告,提示您使用的是过时的第三方集成,则应将客户端更新到最新版本。
- 对于集成商,您必须在2021 年 8 月 13 日之前使用网络或设备授权流程对集成进行身份验证,以避免中断。有关更多信息,请参阅授权 OAuth 应用程序和开发者博客上的公告。
如果您想确保不再使用基于密码的身份验证,您可以 启用双因素身份验证,这需要 OAuth 或个人访问令牌,用于通过 Git 和第三方集成进行的所有身份验证操作。
如果您已经为您的 GitHub 帐户启用了双因素身份验证,则您不会受到此身份验证更改的任何影响,因为您已经在使用基于令牌或 SSH 的身份验证。
多年来,GitHub 通过添加两因素身份验证、 登录警报、 验证设备、 阻止使用受损密码和 WebAuthn 支持来提高帐户安全性 。
用于对 Git 操作进行身份验证的强制基于令牌的身份验证通过防止攻击者使用被盗凭据或重复使用的密码来劫持帐户,提高了 GitHub 帐户抵御接管企图的能力。
5 月,GitHub 还增加了对使用 FIDO2 安全密钥保护 SSH Git 操作的支持, 以增加对接管企图的保护。
© 版权声明
文章版权归作者所有,未经允许请勿转载。