自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

GitHub 廢除基于密碼的 Git 身份驗(yàn)證

作者:佚名
系統(tǒng) Linux
此前在 2020 年 12 月 15日 ,GitHub 就在官方博客上宣布:” 從 2021 年 8 月 13 日開始,在 GitHub.com 上執(zhí)行 Git 操作時(shí),不再接受以賬戶密碼的形式完成身份驗(yàn)證。”

 代碼托管平臺(tái) GitHub 于當(dāng)?shù)貢r(shí)間 8 月 13 日周五這天正式廢除了基于密碼的 Git 身份驗(yàn)證。從 09:00 PST (PST是北美太平洋標(biāo)準(zhǔn)時(shí)間,北京時(shí)間 14 日 0 點(diǎn))開始,使用 GitHub 開發(fā)者將需要切換到基于令牌的身份驗(yàn)證去執(zhí)行 Git 操作,基于令牌的認(rèn)證包括個(gè)人接入、OAuth、SSH Key 活 GitHub App 安裝令牌。

此前在 2020 年 12 月 15日 ,GitHub 就在官方博客上宣布:” 從 2021 年 8 月 13 日開始,在 GitHub.com 上執(zhí)行 Git 操作時(shí),不再接受以賬戶密碼的形式完成身份驗(yàn)證。”

1. 更換身份驗(yàn)證方式的原因

實(shí)際上早在2020年7月30日,GitHub也曾表示:“ 將在所有需要身份驗(yàn)證的 Git 操作中使用基于令牌的驗(yàn)證機(jī)制,比如個(gè)人訪問、OAuth 或者 GitHub App 安裝令牌。如果用戶目前正在使用密碼通過 GitHub.com 對(duì) Git 操作進(jìn)行身份驗(yàn)證,則將很快收到一封電子郵件,敦促用戶更新身份驗(yàn)證方法或第三方客戶端。”

同時(shí)官方也給出了更換身份驗(yàn)證方式的時(shí)間安排:

  •  2020 年 7 月 30 日——如果用戶現(xiàn)在使用密碼通過 API進(jìn)行身份驗(yàn)證,可能會(huì)收到一封電子郵件,敦促用戶更新身份驗(yàn)證方法或第三方客戶端。
  •  2020 年9 月 30 日和 10 月 28 日——所有 API 操作都將暫時(shí)需要個(gè)人訪問或 OAuth 令牌,以鼓勵(lì)用戶更新其身份驗(yàn)證方法。
  •  2020 年11 月 13 日——所有通過 REST API進(jìn)行身份驗(yàn)證的操作都需要個(gè)人訪問或 OAuth 令牌(使用 GraphQL API 進(jìn)行身份驗(yàn)證已經(jīng)需要個(gè)人訪問令牌)。
  •  2021 年中期–——所有經(jīng)過身份驗(yàn)證的 Git 操作都需要個(gè)人訪問權(quán)限或 OAuth 令牌。

GitHub 官方認(rèn)為,近年來受益于 GitHub.com 的許多安全增強(qiáng)功能,例如雙重身份驗(yàn)證、登錄警報(bào)、設(shè)備保護(hù)、防止使用受損密碼和WebAuthn 支持。這些功能使攻擊者很難在多個(gè)網(wǎng)站上獲取重復(fù)使用的密碼,并使用它來訪問用戶的 GitHub 帳戶。盡管這些安全驗(yàn)證方式有了一些改進(jìn),但是由于歷史原因,未啟用雙重身份驗(yàn)證的客戶仍能夠使用其 GitHub 用戶名和密碼繼續(xù)對(duì) Git 和 API 操作進(jìn)行身份驗(yàn)證,導(dǎo)致這部分用戶賬戶安全受到威脅。

而且GitHub也認(rèn)為與基于密碼的身份驗(yàn)證相比,令牌的使用提供了許多安全優(yōu)勢(shì):

  •  唯一性——令牌特定于 GitHub,可按使用次數(shù)或按設(shè)備生成。
  •  可撤銷——可以隨時(shí)單獨(dú)撤銷令牌,不需要更新未受影響的憑據(jù)
  •  有限性——令牌的使用范圍嚴(yán)格控制,僅允許執(zhí)行用例中需要的訪問活動(dòng)
  •  隨機(jī)性——令牌的復(fù)雜度遠(yuǎn)高于用戶設(shè)計(jì)的簡單密碼,因此不受暴力破解等行為的影響。

2. 啟動(dòng)最新身份驗(yàn)證方式的影響

工作流程受影響

  •  命令行 Git 訪問。
  •  使用 Git 的桌面應(yīng)用程序(GitHub Desktop 不受影響)。
  •  使用用戶的密碼直接訪問 GitHub.com 上的 Git 存儲(chǔ)庫的任何應(yīng)用程序/服務(wù)。

不受更改的影響:

  •  如果用戶的帳戶啟用了雙重身份驗(yàn)證,需要使用基于令牌或基于 SSH 的身份驗(yàn)證。
  •  如果用戶使用 GitHub Enterprise Server,對(duì)此不受影響。
  •  如果用戶維護(hù)一個(gè)GitHub App,GitHub Apps 目前不支持密碼認(rèn)證。

用戶需要做什么

  •  對(duì)于開發(fā)人員,如果用戶現(xiàn)在需要使用密碼對(duì) GitHub.com 的 Git 操作進(jìn)行身份驗(yàn)證,則必須在 2021 年 8 月 13 日之前通過HTTPS(推薦)或 SSH 密鑰開始使用個(gè)人訪問令牌,以避免中斷。如果用戶收到郵件提醒,提示使用的是過時(shí)的第三方集成軟件,則應(yīng)將客戶端更新到最新版本。
  •  對(duì)于集成商,必須在2021 年 8 月 13 日之前使用網(wǎng)絡(luò)或設(shè)備授權(quán)流程對(duì)集成進(jìn)行身份驗(yàn)證,以避免中斷。有關(guān)更多信息,請(qǐng)參閱授OAuth 應(yīng)用程序和開發(fā)者博客上的公告。
  •  可以啟用雙重身份驗(yàn)證,如果用戶想確保自己帳戶不允許基于密碼的身份驗(yàn)證,可以立即啟用雙重身份驗(yàn)證。這將要求用戶通過 Git 和第三方集成對(duì)所有經(jīng)過身份驗(yàn)證的操作使用個(gè)人訪問令牌。 

 

責(zé)任編輯:龐桂玉 來源: Linux公社
GitHubGitLinux
相關(guān)推薦

2012-04-10 09:36:58

2025-04-25 07:00:00

身份驗(yàn)證CISO無密碼

2012-10-23 16:12:35

2019-06-03 11:14:16

2019-06-03 12:02:37

2021-06-03 08:56:34

密碼身份驗(yàn)證無密碼

2022-06-20 15:38:39

密碼安全身份驗(yàn)證

2012-01-06 10:35:07

2022-05-07 13:19:24

GitHub2FA

2013-12-05 13:46:51

2022-03-14 13:53:01

基于風(fēng)險(xiǎn)的身份驗(yàn)證RBA身份驗(yàn)證

2014-06-27 10:31:52

2010-09-06 11:24:47

CHAP驗(yàn)證PPP身份驗(yàn)證

2017-01-19 09:36:02

2010-07-17 00:57:52

Telnet身份驗(yàn)證

2022-03-23 12:02:48

身份驗(yàn)證RBAMFA

2011-02-21 10:54:45

2013-07-21 18:32:13

iOS開發(fā)ASIHTTPRequ

2014-10-21 09:14:18

2013-12-06 09:18:44

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)