互联网爱好者创业的站长之家 – 南方站长网
您的位置:首页 >科技 >

GitHub防黑客新措施:弃用账密验证Git操作 改用token或SSH密钥

时间:2021-08-14 16:51:55 | 来源:cnBeta

原标题:GitHub防黑客新措施:弃用账密验证Git操作 改用token或SSH密钥 来源:量子位

还在用账户 + 密码对 GitHub 上的 Git 操作进行身份验证?赶紧整个 token(令牌)或 SSH 密钥吧!8 月 14 号 0 点(8 月 13 日 9:00 PST)开始,在 GitHub 上执行 Git 操作就会导致失败。GitHub 官方表示,这一举措是为了提高 Git 操作的安全性,防止密码撞库等事情发生。

哪些操作会受影响?

简单来说,如果你还在用账密验证 Git 操作,这些行为都会受到影响:

这些用户不会受影响:

当然,大部分经常使用 Git 的用户应该都已经知道这件事了。

在今年 6 月 30 号(15~18 时)、7 月 1 号(0~3 时)、7 月 28 号(15~18 时)和 29 号(0~3 时),GitHub 已经针对这件事进行了预演,所有 Git 操作都被要求用 token 或 SSH 密钥验证。

现在,这项举措已经变成一个永久措施。

GitHub 究竟为什么要这样做呢?

token 和 SSH 密钥安全在哪里?

首先需要了解,只用账户和密码进行身份验证会有什么隐患。

互联网上,每天都有大量网站遭受黑客攻击,导致数据外泄,这些数据中就包括不少用户的账号密码。

拿到账号密码后,黑客会用它们试着登录其他网站,也就是所谓的密码撞库。

简单来说,如果你 ABC 网站用的是一套账户密码,在 A 网站的密码被泄露后,BC 网站也可能会被盗号。

为了防止密码撞库,网站会采取更多手段验证身份信息,像 GitHub 就推出了双因素身份验证、登录警报、设备认证、防用泄露密码及支持 WebAuth 等措施。

现在,GitHub 开始强制用户采用 token 或 SSH 密钥进行身份验证。相比于账密,这两者的安全性显然更高:

那么,token 和 SSH 密钥之间,哪个更合适呢?

虽然目前 GitHub 官方推荐的是 token,因为它设置更为简单,不过相比之下,SSH 密钥的安全性要更高一些。

还没有设置 token 或 SSH 密钥的 Git 用户,可以戳官方教程整起来了~

GitHub 设置教程:

[1]

https://docs.github.com/en/github/authenticating-to-github/keeping-your-account-and-data-secure/creating-a-personal-access-token

[2]

https://docs.github.com/en/github/authenticating-to-github/connecting-to-github-with-ssh/generating-a-new-ssh-key-and-adding-it-to-the-ssh-agent

参考链接:

[1]

https://github.blog/changelog/2021-08-12-git-password-authentication-is-shutting-down/

[2]

https://www.theregister.com/2021/08/12/git_proxyshell_gigabyte/

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。