余晖落尽暮晚霞,黄昏迟暮远山寻
本站
当前位置:网站首页 > 编程知识 > 正文

GitHub防黑客新措施:弃用账密验证Git操作,改用token或SSH密钥

xiyangw 2022-11-25 12:23 29 浏览 0 评论

萧箫 发自 凹非寺

量子位 报道 | 公众号 QbitAI

还在用账户+密码对GitHub上的Git操作进行身份验证?

赶紧整个token(令牌)或SSH密钥吧!

8月14号0点(8月13日9:00 PST)开始,在GitHub上执行Git操作就会导致失败。

GitHub官方表示,这一举措是为了提高Git操作的安全性,防止密码撞库等事情发生。

哪些操作会受影响?

简单来说,如果你还在用账密验证Git操作,这些行为都会受到影响:

  • 命令行Git访问
  • 采用Git的桌面应用程序(GitHub Desktop不受影响)
  • 账密访问GitHub上Git repo的一切应用程序/服务

这些用户不会受影响:

  • 已经采用token或SSH密钥方式验证,即启用双因素身份验证(2FA)的用户
  • 使用GitHub Enterprise Server本地产品的用户(该产品尚未对此进行更改)
  • 使用GitHub App的用户,此前已经不支持账密验证

当然,大部分经常使用Git的用户应该都已经知道这件事了。

在今年6月30号(15~18时)、7月1号(0~3时)、7月28号(15~18时)和29号(0~3时),GitHub已经针对这件事进行了预演,所有Git操作都被要求用token或SSH密钥验证。

现在,这项举措已经变成一个永久措施

GitHub究竟为什么要这样做呢?

token和SSH密钥安全在哪里?

首先需要了解,只用账户和密码进行身份验证会有什么隐患。

互联网上,每天都有大量网站遭受黑客攻击,导致数据外泄,这些数据中就包括不少用户的账号密码。

拿到账号密码后,黑客会用它们试着登录其他网站,也就是所谓的密码撞库

简单来说,如果你ABC网站用的是一套账户密码,在A网站的密码被泄露后,BC网站也可能会被盗号。

为了防止密码撞库,网站会采取更多手段验证身份信息,像GitHub就推出了双因素身份验证、登录警报、设备认证、防用泄露密码及支持WebAuth等措施。

双因素身份验证,是指在秘密信息(密码等)、个人物品(身份证等)、生理特征(指纹/虹膜/人脸等)这三种因素中,同时用两种因素进行认证的过程。

现在,GitHub开始强制用户采用token或SSH密钥进行身份验证。相比于账密,这两者的安全性显然更高:

  • 唯一性:仅限GitHub使用,根据设备/使用次数生成
  • 可撤销性:可随时被单独撤销,其他凭证不受影响
  • 区域性:使用范围可控,只允许在部分访问活动中执行
  • 随机性:不受撞库影响,比账密复杂度更高

那么,token和SSH密钥之间,哪个更合适呢?

虽然目前GitHub官方推荐的是token,因为它设置更为简单,不过相比之下,SSH密钥的安全性要更高一些。

还没有设置token或SSH密钥的Git用户,可以戳官方教程整起来了~

GitHub设置教程:
[1]https://docs.github.com/en/github/authenticating-to-github/keeping-your-account-and-data-secure/creating-a-personal-access-token
[2]https://docs.github.com/en/github/authenticating-to-github/connecting-to-github-with-ssh/generating-a-new-ssh-key-and-adding-it-to-the-ssh-agent

参考链接:
[1]https://github.blog/changelog/2021-08-12-git-password-authentication-is-shutting-down/
[2]https://www.theregister.com/2021/08/12/git_proxyshell_gigabyte/

— 完 —

量子位 QbitAI · 头条号签约

关注我们,第一时间获知前沿科技动态

相关推荐

若用户浏览器禁用JavaScript,谷歌将不再允许其登录

据ZDNet报导,Google昨天宣布了四项用于保护Google账户的新安全功能,不仅用于加强用户登录账户前后的保护,也适用于在受到黑客攻击后恢复的情况。其中一项为:Google使用Jav...

若用户浏览器禁用JavaScript Google将不再允许其登录

PingWest品玩11月1日讯,据ZDNet报导,Google昨天宣布了四项用于保护Google账户的新安全功能,不仅用于加强用户登录账户前后的保护,也适用于在受到黑客攻击后恢复的情况。第一...

干货分享 | JavaScript 基础知识(直播干货分享)
干货分享 | JavaScript 基础知识(直播干货分享)

随着现在技术行业门槛的不断提高,大多数的小伙伴们想要学前端或者是入门前端行业,就必须要掌握一定基础的JavaScript语言知识,本文档将介绍绝大部分常用的...

2023-03-21 19:31 xiyangw

第34节 Web浏览器中的Javascript-零点程序员
第34节 Web浏览器中的Javascript-零点程序员

本内容是《Web前端开发之Javascript视频》的课件,请配合大师哥《Javascript》视频课程学习。JavaScript由最初的一个原始的脚本语言,已...

2023-03-21 19:31 xiyangw

JavaScript ES2019 中的 8 个新功能(javascript 菜鸟教程)
JavaScript ES2019 中的 8 个新功能(javascript 菜鸟教程)

JavaScript一直在不断改进和添加更多新功能。TC39已经完成,并批准了ES2019的8项新功能。这个过程包含了5个阶段:第0阶段:稻...

2023-03-21 19:30 xiyangw

JavaScript 对象可以做到的三件事(在浏览器上运行javascript程序,可以)

除了普通的对象属性赋值和遍历之外,我们还可以使用JavaScript对象执行许多其他操作。在本文中,我们将了解如何使用它们,包括访问内部属性、操作属性描述符和继承只读属性。1.访问内部属性Jav...

冰与火之歌:JavaScript 的困境与挑战(冰与火之舞url)
冰与火之歌:JavaScript 的困境与挑战(冰与火之舞url)

最近几年以来,伴随着各个端平台的迅猛发展,以TypeScript、Swift、Kotlin和Dart为代表的新一代应用编程语言纷纷浮现。群雄环伺之下,J...

2023-03-21 19:30 xiyangw

JavaScript每年更新一个版本,功能越来越强大,能用JS的终将用JS
JavaScript每年更新一个版本,功能越来越强大,能用JS的终将用JS

不做详细功能介绍ES2015(ES6)带来的重大特性Arrowfunctions(箭头函数)PromisesGeneratorslet和const...

2023-03-21 19:30 xiyangw

IT技术分享:浅谈JavaScript作用域(js有哪些作用域,分别是什么意思)
IT技术分享:浅谈JavaScript作用域(js有哪些作用域,分别是什么意思)

javascript是目前web领域中使用非常广泛的语言,不管是在前端还是在后端都能看到它的影子,可以说web从业者不论怎样都绕不开它。在前端领域,各种框架层出...

2023-03-21 19:29 xiyangw

软件测试 | JavaScript如何使用(javascript自动测试框架)

简介JavaScript是脚本语言,是一种轻量级的编程语言,可以插入HTML页面的编程代码。插入HTML页面后,可由所有的现代浏览器执行。作用JavaScript可以直接写入HTML输...

高性能的JavaScript,这是一个高级程序员必备的技能
高性能的JavaScript,这是一个高级程序员必备的技能

不知道大家有没有看过高性能JavaScript,这个书是一本好书,推荐有JavaScript的基础的同学可以看一看这本书.下面是我根据这本书整理出来的知识:1、...

2023-03-21 19:28 xiyangw

javascript:5分钟了解javascript,就能上手(javascript环境配置)
javascript:5分钟了解javascript,就能上手(javascript环境配置)

javascript一.js组成部分ECMA:文档对象类型:(DOM)documentobjectmodule浏览器对象类型:(BOM)broswe...

2023-03-21 19:28 xiyangw

JavaScript 使用(javascript 原型)
JavaScript 使用(javascript 原型)

JavaScript使用<script>标签在HTML中,JavaScript代码必须位于<script>与</s...

2023-03-21 19:28 xiyangw

JavaScript的前景一片光明(js在前端设计中的作用)
JavaScript的前景一片光明(js在前端设计中的作用)

JavaScript的未来很光明,该语言确实正在打破浏览器的壁垒,许多开发人员看到JavaScript的服务器端实现,入node.js,从而可以使用一种语言编...

2023-03-21 19:27 xiyangw

第4节 使用Javascript(javascript基本语法学习四)
第4节 使用Javascript(javascript基本语法学习四)

如果使用JavaScript,在哪里使用JavaScript?这节课我们来研究这些知识点。在哪里使用:在<script>中嵌入,向HTML页面中插入...

2023-03-21 19:27 xiyangw

取消回复欢迎 发表评论: