GitHub宣布,從2021年8月13日開始,在GitHub.com上Git操作的身份驗證,不再接受帳號密碼的驗證方式,將會要求基於權杖(Token)的身份驗證,包括個人存取權杖,或是OAuth、GitHub應用程式安裝權杖,而用戶仍可以根據需求,繼續使用SSH金鑰。

GitHub最近在GitHub.com上,啟用了多項安全強化功能,包括雙因素驗證、登入警示、驗證裝置,並阻擋使用遭洩露密碼,而這些功能有效防止惡意人士,使用從其他網站竊取來的帳號密碼,登入使用者的GitHub帳戶,但官方提到,因為部分原因,使得目前未啟用雙因素驗證的使用者,可繼續使用帳號密碼,作為Git和API操作的身份驗證方法。

但是官方現在決定,明年全面禁止在Git操作以帳號密碼驗證身份,用戶必須使用基於權杖(Token)的身份驗證方法,才能夠繼續Git操作,官方提到,令牌有許多好處,首先身份驗證權杖是專為GitHub生成,可以綁定使用方式以及裝置,而且權杖可以隨時被單獨撤銷,不需要更新未受影響的憑證。第三,權杖具有限的應用範圍,能夠僅允許使用案例需要的存取,另外,權杖也不會受到字典或是暴力破解攻擊。

受到影響的工作流程,包括命令列工具的Git存取,以及Git桌面應用程式,還有目前使用帳號密碼,直接存取GitHub.com上Git存儲庫的任何應用與服務。

現在仍使用帳號密碼於GitHub.com驗證Git操作的開發人員,需要在2021年8月13日之前,開始使用HTTPS個人存取權杖或是SSH金鑰,避免之後的操作受到影響,而當用戶收到警示,則代表用戶正使用過時的第三方整合,應該更新客戶端至最新版本。而對整合商來說,也必須於2021年8月13日之前,使用網頁或是裝置完成授權流程以驗證整合。

當使用者已經啟用雙因素驗證保護帳戶,則已被要求使用權杖與SSH身份驗證,因此不受此更改影響,另外,GitHub Enterprise Server的使用者,也不在此更改的影響範圍中。因此用戶要確保帳戶不再允許帳號密碼身份驗證,可以啟動雙因素驗證,這個過程會要求用戶透過Git和第三方整合,在所有身份驗證操作使用個人存取權杖。

官方將會發送電子郵件給受影響的用戶,並預計在2021年6月30日和7月28日,暫時僅允許權杖身份驗證,敦促用戶更新身份驗證方法,而在8月13日後,所有Git操作都限制要求使用權杖或是SSH金鑰進行身份驗證。

熱門新聞

Advertisement