Github:Git操作的令牌认证要求

2020-12-17 01:15:23

7月,我们宣布了打算对所有经过身份验证的Git操作要求使用基于令牌的身份验证(例如,个人访问,OAuth或GitHub App安装令牌)。从2021年8月13日开始,在GitHub.com上对Git操作进行身份验证时,我们将不再接受帐户密码。

如果您为帐户启用了双重身份验证,则已经需要使用基于令牌或SSH的身份验证。

如果您使用GitHub Enterprise Server,则我们尚未宣布对本地产品的任何更改。

当我们宣布与API进行身份验证的类似更改时,我们描述了我们的动机,如下所示:

近年来,GitHub客户受益于GitHub.com的多项安全增强功能,例如两因素身份验证,登录警报,经过验证的设备,防止使用泄露的密码以及WebAuthn支持。这些功能使攻击者更难于获取已在多个网站上重复使用的密码,并使用该密码来尝试访问您的GitHub帐户。尽管进行了这些改进,但由于历史原因,未启用两因素身份验证的客户仍能够仅使用其GitHub用户名和密码来继续验证Git和API操作。

从2021年8月13日开始,在对Git操作进行身份验证时,我们将不再接受帐户密码,并将要求使用基于令牌的身份验证,例如个人访问令牌(对于开发人员)或OAuth或GitHub App安装令牌(对于集成商)适用于GitHub.com上所有经过身份验证的Git操作。您也可以根据需要继续使用SSH密钥。

唯一–令牌特定于GitHub,可以按使用或按设备生成

可撤销–令牌可以随时被单独撤销,而无需更新未受影响的凭证

受限–令牌的范围可以狭窄,仅允许用例所需的访问

随机–令牌不受字典或暴力尝试的类型的约束,您可能需要记住或定期输入的更简单的密码可能是

对于开发人员来说,如果您今天使用密码来验证GitHub.com上的Git操作,则必须在2021年8月13日之前开始通过HTTPS(推荐)或SSH密钥使用个人访问令牌,以免造成干扰。如果收到警告,说明您正在使用过期的第三方集成,则应将客户端更新为最新版本。

对于集成商,您必须在2021年8月13日之前使用Web或设备授权流程对集成进行身份验证,以免造成干扰。有关更多信息,请参阅授权OAuth应用和开发者博客上的公告。

如果要确保您的帐户不允许基于密码的身份验证,则可以立即为您的帐户启用两因素身份验证。这将要求您通过Git和第三方集成将个人访问令牌用于所有经过身份验证的操作。

为确保所有受影响的客户都知道认证更改,在两次预定的电源不足期间,我们将暂时禁用对密码认证的支持,并且使用密码进行的Git操作将暂时失败。限电计划于以下日期和时间:

今天-如果您现在使用密码通过GitHub.com对GitHub.com进行身份验证,您将很快收到一封电子邮件,敦促您更新身份验证方法或第三方客户端。 2021年6月30日和7月28日–所有Git操作都将临时需要令牌(或SSH密钥)身份验证,以鼓励受影响的客户更新其身份验证方法(请参阅下文)。 2021年8月13日–所有经过身份验证的Git操作都需要令牌(或SSH密钥)身份验证。