GitHub放棄了許多工作流程的基于密碼的身份驗(yàn)證

GitHub現(xiàn)在正式要求對其命令行界面、第三方應(yīng)用程序和訪問托管在平臺上的Git存儲(chǔ)庫的服務(wù)進(jìn)行基于令牌的身份驗(yàn)證。GitHub通過要求對其命令行界面、第三方桌面應(yīng)用程序和其他直接訪問托管在其平臺上的存儲(chǔ)庫的外部服務(wù)進(jìn)行基于令牌的身份驗(yàn)證，在放棄密碼方面又邁出了一步。

該公司宣布計(jì)劃在2020年12月留下密碼;它終于在8月13日進(jìn)行了切換。GitHub表示，受影響的服務(wù)現(xiàn)在必須使用個(gè)人訪問令牌、SSH密鑰、OAuth令牌或GitHub應(yīng)用程序安裝令牌進(jìn)行身份驗(yàn)證。(其第一方應(yīng)用程序不受此更改的影響。)

GitHub并不是唯一一家希望更換密碼的公司。自2013年以來，谷歌一直試圖放棄基于密碼的身份驗(yàn)證，微軟也在推動(dòng)Windows10中的其他安全機(jī)制。許多其他人至少鼓勵(lì)他們的用戶采用多因素身份驗(yàn)證，而不僅僅是使用密碼。

為什么?GitHub在2020年7月解釋說，它更喜歡代幣，因?yàn)樗鼈兪牵?/p>

唯一–令牌特定于GitHub，可以按使用或按設(shè)備生成。

可撤銷–可以隨時(shí)單獨(dú)撤銷令牌，而無需更新未受影響的憑據(jù)。

有限——令牌的范圍可以很窄，只允許用例所需的訪問。

隨機(jī)-令牌不受字典類型或暴力嘗試的影響，而您需要記住或定期輸入的更簡單的密碼可能會(huì)受到這些類型的影響。

GitHub還在8月16日宣布，它與Yubico合作，允許使用YubiKey等物理安全密鑰對提交(存儲(chǔ)庫在特定時(shí)間點(diǎn)的快照)進(jìn)行簽名，并創(chuàng)建分步指南到那個(gè)過程：

兩家公司合作開發(fā)了更多GitHub品牌的YubiKey安全密鑰，這些密鑰將通過GitHub商店提供，直到供應(yīng)用完。YubiKey5NFC和YubiKey5CNFC在撰寫本文時(shí)仍有貨。