GitHub放棄了許多工作流程的基于密碼的身份驗證

GitHub現在正式要求對其命令行界面、第三方應用程序和訪問托管在平臺上的Git存儲庫的服務進行基于令牌的身份驗證。GitHub通過要求對其命令行界面、第三方桌面應用程序和其他直接訪問托管在其平臺上的存儲庫的外部服務進行基于令牌的身份驗證，在放棄密碼方面又邁出了一步。

該公司宣布計劃在2020年12月留下密碼;它終于在8月13日進行了切換。GitHub表示，受影響的服務現在必須使用個人訪問令牌、SSH密鑰、OAuth令牌或GitHub應用程序安裝令牌進行身份驗證。(其第一方應用程序不受此更改的影響。)

GitHub并不是唯一一家希望更換密碼的公司。自2013年以來，谷歌一直試圖放棄基于密碼的身份驗證，微軟也在推動Windows10中的其他安全機制。許多其他人至少鼓勵他們的用戶采用多因素身份驗證，而不僅僅是使用密碼。

為什么?GitHub在2020年7月解釋說，它更喜歡代幣，因為它們是：

唯一–令牌特定于GitHub，可以按使用或按設備生成。

可撤銷–可以隨時單獨撤銷令牌，而無需更新未受影響的憑據。

有限——令牌的范圍可以很窄，只允許用例所需的訪問。

隨機-令牌不受字典類型或暴力嘗試的影響，而您需要記住或定期輸入的更簡單的密碼可能會受到這些類型的影響。

GitHub還在8月16日宣布，它與Yubico合作，允許使用YubiKey等物理安全密鑰對提交(存儲庫在特定時間點的快照)進行簽名，并創(chuàng)建分步指南到那個過程：

兩家公司合作開發(fā)了更多GitHub品牌的YubiKey安全密鑰，這些密鑰將通過GitHub商店提供，直到供應用完。YubiKey5NFC和YubiKey5CNFC在撰寫本文時仍有貨。