GitHub防黑客新措施:弃用账密验证Git操作,改用token或SSH密钥,今晚0点执行
萧箫 发自 凹非寺
量子位 报道 | 公众号 QbitAI
还在用账户+密码对GitHub上的Git操作进行身份验证?
赶紧整个token(令牌)或SSH密钥吧!
8月14号0点(8月13日9:00 PST)开始,在GitHub上执行Git操作就会导致失败。
GitHub官方表示,这一举措是为了提高Git操作的安全性,防止密码撞库等事情发生。
哪些操作会受影响?
简单来说,如果你还在用账密验证Git操作,这些行为都会受到影响:
命令行Git访问
采用Git的桌面应用程序(GitHub Desktop不受影响)
账密访问GitHub上Git repo的一切应用程序/服务
这些用户不会受影响:
已经采用token或SSH密钥方式验证,即启用双因素身份验证(2FA)的用户
使用GitHub Enterprise Server本地产品的用户(该产品尚未对此进行更改)
使用GitHub App的用户,此前已经不支持账密验证
当然,大部分经常使用Git的用户应该都已经知道这件事了。
在今年6月30号(15~18时)、7月1号(0~3时)、7月28号(15~18时)和29号(0~3时),GitHub已经针对这件事进行了预演,所有Git操作都被要求用token或SSH密钥验证。
现在,这项举措已经变成一个永久措施。
GitHub究竟为什么要这样做呢?
token和SSH密钥安全在哪里?
首先需要了解,只用账户和密码进行身份验证会有什么隐患。
互联网上,每天都有大量网站遭受黑客攻击,导致数据外泄,这些数据中就包括不少用户的账号密码。
拿到账号密码后,黑客会用它们试着登录其他网站,也就是所谓的密码撞库。
简单来说,如果你ABC网站用的是一套账户密码,在A网站的密码被泄露后,BC网站也可能会被盗号。
为了防止密码撞库,网站会采取更多手段验证身份信息,像GitHub就推出了双因素身份验证、登录警报、设备认证、防用泄露密码及支持WebAuth等措施。
双因素身份验证,是指在秘密信息(密码等)、个人物品(身份证等)、生理特征(指纹/虹膜/人脸等)这三种因素中,同时用两种因素进行认证的过程。
现在,GitHub开始强制用户采用token或SSH密钥进行身份验证。相比于账密,这两者的安全性显然更高:
唯一性:仅限GitHub使用,根据设备/使用次数生成
可撤销性:可随时被单独撤销,其他凭证不受影响
区域性:使用范围可控,只允许在部分访问活动中执行
随机性:不受撞库影响,比账密复杂度更高
那么,token和SSH密钥之间,哪个更合适呢?
虽然目前GitHub官方推荐的是token,因为它设置更为简单,不过相比之下,SSH密钥的安全性要更高一些。
还没有设置token或SSH密钥的Git用户,可以戳官方教程整起来了~
GitHub设置教程:
[1]https://docs.github.com/en/github/authenticating-to-github/keeping-your-account-and-data-secure/creating-a-personal-access-token
[2]https://docs.github.com/en/github/authenticating-to-github/connecting-to-github-with-ssh/generating-a-new-ssh-key-and-adding-it-to-the-ssh-agent
参考链接:
[1]https://github.blog/changelog/2021-08-12-git-password-authentication-is-shutting-down/
[2]https://www.theregister.com/2021/08/12/git_proxyshell_gigabyte/
GitHub防黑客新措施:弃用账密验证Git操作,改用token或SSH密钥,今晚0点执行相关推荐
- GitHub 防黑客新措施
本文转载自IT之家 还在用账户 + 密码对 GitHub 上的 Git 操作进行身份验证? 赶紧整个 token(令牌)或 SSH 密钥吧! 8 月 14 号 0 点(8 月 13 日 9:00 PS ...
- 忽然发现GitHub用不了了,原来git的账密验证已经弃用,改用 token 或 SSH 密钥
一觉醒来突然发现怎么没法往github上push代码了呢,这好恐怖~ 还好还好,不是github罢工,只是需要使用token而已. 文章目录 Git password authentication i ...
- 初次使用git配置以及git如何使用ssh密钥(将ssh密钥添加到github)
初次安装git需要配置用户名和邮箱,否则git会提示:please tell me who you are. 你需要运行命令来配置你的用户名和邮箱: $ git config --global use ...
- 谷歌和GitHub 联手提出新方法,提振软件供应链安全
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士团队 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的 ...
- Mac OS X:雪豹防恶意软件的措施
Mac OS X:雪豹防恶意软件的措施 曾经在去年年底的时候,就提到了Mac OS X系统在运行下载的程序时,会提示该程序是下载的,运行前需要用户确认.详见:Leopard的检疫"quara ...
- 小米手机在欧洲首次登顶,市场份额超越苹果;腾讯推出游戏“双减双打”新措施;三星成全球最大芯片厂商|极客头条...
「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「极客头条」来啦,快来看今天都有哪些值得我们技术人关注的重要新闻吧. 整理 | 孙胜 出品 | CSDN(ID:CSDNnews) ...
- GitHub 遭黑客攻击勒索;苹果夸大 iPhone 电池续航时间;全球第二大暗网被摧毁 | 极客头条...
快来收听极客头条音频版吧,智能播报由标贝科技提供技术支持. 「CSDN 极客头条」,是从 CSDN 网站延伸至官方微信公众号的特别栏目,专注于一天业界事报道.风里雨里,我们将每天为朋友们,播报最新鲜有 ...
- 程序员大本营GitHub遭黑客劫持,是时候认真聊聊开源代码安全了
著名的"交友网站"GitHub是程序员的"大本营",很多人都将源代码托管在上面,并不断利用社区开源资源开发新的算法.软件.应用. 这样一个极客云集的平台,居然被 ...
- 如何在github上为新问题附加新的拉取请求?
我不确定,但我有一个模糊的记忆,创建一个带有"问题4"或标题中的东西的github拉取请求,并且它自动附加到我提交给它的项目中的第4期. 我最近再次尝试过它并没有用 - 它只是创造 ...
最新文章
- CUDA刷新器:CUDA编程模型
- JavaScript中属性name与方法名不能相同
- for循环里的if语句中break_Go语言极简教程 - 第五篇 控制语句
- Web Service 附件技术的发展及演变
- 指定端口传输_高速数字传输链路测试 - 高速数字电路仿真设计与测试技术发展趋势综述(二)...
- 依存句法分析的任务以及形式化定义
- 活动 Web 页面人机识别验证的探索与实践
- Atlas读写分离Mysql集群的搭建
- 魔术师利用一副牌中的13张红桃c语言,魔术师的猜牌术(1) 魔术师利用一副牌中的13张黑桃 - 下载 - 搜珍网...
- 云服务器工具大全,云服务器主要的登陆方法有哪些
- 计算机系统的输入与输出接口是,计算机输入输出系统与接口技术
- python实例变量命名规则_python变量命名规则
- 记录一下unity3d资源加载Resources.Load资源加载的坑
- ip经济ip猫:「飞海豚」大圣基因/医修鸽的ValueUP | Chain++
- bsl计算机术语,一种BSL的确定方法、BIER-TE控制器和计算机存储介质与流程
- 腾讯云部署hexo博客系统
- 大数据需要学习哪些技术?
- BZOJ 2314 士兵的放置(play) 树形DP
- 整数的按权展开 (10 分)
- 基于BiLSTM的回归预测方法