GitHub防黑客新措施:弃用账密验证Git操作,改用token或SSH密钥

新闻 黑客攻防
还在用账户+密码对GitHub上的Git操作进行身份验证?赶紧整个token(令牌)或SSH密钥吧!

  [[417722]]

本文经AI新媒体量子位(公众号ID:QbitAI)授权转载,转载请联系出处。

还在用账户+密码对GitHub上的Git操作进行身份验证?

赶紧整个token(令牌)或SSH密钥吧!

GitHub防黑客新措施:弃用账密验证Git操作,改用token或SSH密钥

8月14号0点(8月13日9:00 PST)开始,在GitHub上执行Git操作就会导致失败。

GitHub官方表示,这一举措是为了提高Git操作的安全性,防止密码撞库等事情发生。

哪些操作会受影响?

简单来说,如果你还在用账密验证Git操作,这些行为都会受到影响:

  • 命令行Git访问
  • 采用Git的桌面应用程序(GitHub Desktop不受影响)
  • 账密访问GitHub上Git repo的一切应用程序/服务

这些用户不会受影响:

  • 已经采用token或SSH密钥方式验证,即启用双因素身份验证(2FA)的用户
  • 使用GitHub Enterprise Server本地产品的用户(该产品尚未对此进行更改)
  • 使用GitHub App的用户,此前已经不支持账密验证

当然,大部分经常使用Git的用户应该都已经知道这件事了。

在今年6月30号(15~18时)、7月1号(0~3时)、7月28号(15~18时)和29号(0~3时),GitHub已经针对这件事进行了预演,所有Git操作都被要求用token或SSH密钥验证。

现在,这项举措已经变成一个永久措施

GitHub究竟为什么要这样做呢?

token和SSH密钥安全在哪里?

首先需要了解,只用账户和密码进行身份验证会有什么隐患。

互联网上,每天都有大量网站遭受黑客攻击,导致数据外泄,这些数据中就包括不少用户的账号密码。

拿到账号密码后,黑客会用它们试着登录其他网站,也就是所谓的密码撞库

简单来说,如果你ABC网站用的是一套账户密码,在A网站的密码被泄露后,BC网站也可能会被盗号。

[[417724]]

为了防止密码撞库,网站会采取更多手段验证身份信息,像GitHub就推出了双因素身份验证、登录警报、设备认证、防用泄露密码及支持WebAuth等措施。

双因素身份验证,是指在秘密信息(密码等)、个人物品(身份证等)、生理特征(指纹/虹膜/人脸等)这三种因素中,同时用两种因素进行认证的过程。

现在,GitHub开始强制用户采用token或SSH密钥进行身份验证。相比于账密,这两者的安全性显然更高:

  • 唯一性:仅限GitHub使用,根据设备/使用次数生成
  • 可撤销性:可随时被单独撤销,其他凭证不受影响
  • 区域性:使用范围可控,只允许在部分访问活动中执行
  • 随机性:不受撞库影响,比账密复杂度更高

那么,token和SSH密钥之间,哪个更合适呢?

虽然目前GitHub官方推荐的是token,因为它设置更为简单,不过相比之下,SSH密钥的安全性要更高一些。

还没有设置token或SSH密钥的Git用户,可以戳官方教程整起来了~

GitHub设置教程:

[1]https://docs.github.com/en/github/authenticating-to-github/keeping-your-account-and-data-secure/creating-a-personal-access-token

[2]https://docs.github.com/en/github/authenticating-to-github/connecting-to-github-with-ssh/generating-a-new-ssh-key-and-adding-it-to-the-ssh-agent

 

 

责任编辑:张燕妮 来源: 量子位
相关推荐

2011-08-05 09:59:04

GNOME 3Linus TorvaXfce

2013-05-14 09:31:56

定制版LinuxDebian

2021-04-20 09:09:10

Android 12GoogleVulkan API

2018-09-10 15:40:46

GitHubQuery前端

2011-06-02 11:13:07

2015-11-27 10:34:03

PHPJavaScript

2010-10-22 09:15:31

JavaMac App Sto

2021-08-27 10:40:49

GitHubGitLinux

2012-10-23 09:54:17

2021-09-04 15:30:14

GitHubGit协议加密

2024-08-12 16:28:37

LinuxSSH密钥

2023-08-18 13:18:25

2021-09-07 09:34:38

TensorflowYAML漏洞

2011-04-02 09:34:38

2009-12-11 17:20:08

2019-03-23 12:35:35

GitHub代码开发者

2016-08-12 09:56:07

2022-02-16 08:59:43

Go方法Title

2012-11-29 14:44:07

2012-07-20 10:35:39

黑客攻击
点赞
收藏

51CTO技术栈公众号