余晖落尽暮晚霞,黄昏迟暮远山寻
本站
当前位置:网站首页 > 编程知识 > 正文

GitHub防黑客新措施:弃用账密验证Git操作,改用token或SSH密钥

xiyangw 2022-11-25 12:23 64 浏览 0 评论

萧箫 发自 凹非寺

量子位 报道 | 公众号 QbitAI

还在用账户+密码对GitHub上的Git操作进行身份验证?

赶紧整个token(令牌)或SSH密钥吧!

8月14号0点(8月13日9:00 PST)开始,在GitHub上执行Git操作就会导致失败。

GitHub官方表示,这一举措是为了提高Git操作的安全性,防止密码撞库等事情发生。

哪些操作会受影响?

简单来说,如果你还在用账密验证Git操作,这些行为都会受到影响:

  • 命令行Git访问
  • 采用Git的桌面应用程序(GitHub Desktop不受影响)
  • 账密访问GitHub上Git repo的一切应用程序/服务

这些用户不会受影响:

  • 已经采用token或SSH密钥方式验证,即启用双因素身份验证(2FA)的用户
  • 使用GitHub Enterprise Server本地产品的用户(该产品尚未对此进行更改)
  • 使用GitHub App的用户,此前已经不支持账密验证

当然,大部分经常使用Git的用户应该都已经知道这件事了。

在今年6月30号(15~18时)、7月1号(0~3时)、7月28号(15~18时)和29号(0~3时),GitHub已经针对这件事进行了预演,所有Git操作都被要求用token或SSH密钥验证。

现在,这项举措已经变成一个永久措施

GitHub究竟为什么要这样做呢?

token和SSH密钥安全在哪里?

首先需要了解,只用账户和密码进行身份验证会有什么隐患。

互联网上,每天都有大量网站遭受黑客攻击,导致数据外泄,这些数据中就包括不少用户的账号密码。

拿到账号密码后,黑客会用它们试着登录其他网站,也就是所谓的密码撞库

简单来说,如果你ABC网站用的是一套账户密码,在A网站的密码被泄露后,BC网站也可能会被盗号。

为了防止密码撞库,网站会采取更多手段验证身份信息,像GitHub就推出了双因素身份验证、登录警报、设备认证、防用泄露密码及支持WebAuth等措施。

双因素身份验证,是指在秘密信息(密码等)、个人物品(身份证等)、生理特征(指纹/虹膜/人脸等)这三种因素中,同时用两种因素进行认证的过程。

现在,GitHub开始强制用户采用token或SSH密钥进行身份验证。相比于账密,这两者的安全性显然更高:

  • 唯一性:仅限GitHub使用,根据设备/使用次数生成
  • 可撤销性:可随时被单独撤销,其他凭证不受影响
  • 区域性:使用范围可控,只允许在部分访问活动中执行
  • 随机性:不受撞库影响,比账密复杂度更高

那么,token和SSH密钥之间,哪个更合适呢?

虽然目前GitHub官方推荐的是token,因为它设置更为简单,不过相比之下,SSH密钥的安全性要更高一些。

还没有设置token或SSH密钥的Git用户,可以戳官方教程整起来了~

GitHub设置教程:
[1]https://docs.github.com/en/github/authenticating-to-github/keeping-your-account-and-data-secure/creating-a-personal-access-token
[2]https://docs.github.com/en/github/authenticating-to-github/connecting-to-github-with-ssh/generating-a-new-ssh-key-and-adding-it-to-the-ssh-agent

参考链接:
[1]https://github.blog/changelog/2021-08-12-git-password-authentication-is-shutting-down/
[2]https://www.theregister.com/2021/08/12/git_proxyshell_gigabyte/

— 完 —

量子位 QbitAI · 头条号签约

关注我们,第一时间获知前沿科技动态

相关推荐

数控系统常见术语详解,机加工人士必备资料
数控系统常见术语详解,机加工人士必备资料

增量编码器(Incrementpulsecoder)回转式位置测量元件,装于电动机轴或滚珠丝杠上,回转时发出等间隔脉冲表示位移量。由于没有记忆元件,故不能准...

2023-09-24 17:42 xiyangw

功、功率、扭矩的关系

功=功率×时间work=power×timeW=P×T功=力×距离work=force×lengthW=F×LP×T=F×LP=F×L/T=F×V(velocity)具体到电机输出轴上,圆...

Wi-Fi协议(802.11 )常见专业术语汇总
Wi-Fi协议(802.11 )常见专业术语汇总

Wi-Fi协议(802.11)常见专业术语汇总AP(Accesspoint的简称,即访问点,接入点):是一个无线网络中的特殊节点,通过这个节点,无线网络中的...

2023-09-24 17:41 xiyangw

不需要策略模式也能避免满屏if/else
不需要策略模式也能避免满屏if/else

满屏if/elsejava复制代码publicstaticvoidmain(String[]args){inta=1;if...

2023-09-24 17:41 xiyangw

喜极而泣,我终于干掉了该死的 if-else
喜极而泣,我终于干掉了该死的 if-else

推荐阅读:面试淘宝被Tomcat面到“自闭”,学习这份文档之后“吊打”面试官刷完spring+redis+负载均衡+netty+kafka面试题,再去面试BAT...

2023-09-24 17:40 xiyangw

Python中使用三元运算符简化if-else语句
Python中使用三元运算符简化if-else语句

Python是一种极简主义的编程语言,相比其他编程语言,在多个地方简化了代码的写法,可以让我们用更少的时间更简洁地完成工作。以赋值运算符为例:a=a+b简化...

2023-09-24 17:40 xiyangw

雅思课堂 | 雅思口语写作句型第二讲
雅思课堂 | 雅思口语写作句型第二讲

纯干货,无废话用最少的时间学最制胜的内容!泡图书馆泡不过学霸?碎片时间也能弯道超车!向着雅思8分行动起来吧!雅思口语写作句型1.Ipreferseeing...

2023-09-24 17:39 xiyangw

设计模式(三)——简单的状态模式代替if-else
设计模式(三)——简单的状态模式代替if-else

博主将会针对Java面试题写一组文章,包括J2ee,SQL,主流Web框架,中间件等面试过程中面试官经常问的问题,欢迎大家关注。一起学习,一起成长。前言大多数开...

2023-09-24 17:38 xiyangw

如何优化代码中大量的if/else,switch/case?

前言随着项目的迭代,代码中存在的分支判断可能会越来越多,当里面涉及到的逻辑比较复杂或者分支数量实在是多的难以维护的时候,我们就要考虑下,有办法能让这些代码变得更优雅吗?正文使用枚举这里我们简单的定义一...

优秀程序员早就学会用“状态模式”代替if-else了
优秀程序员早就学会用“状态模式”代替if-else了

2020年已经进入倒计时了,大家立好的flag完成了吗?2020实“鼠”不易,希望2021可以“牛”转乾坤。简介状态模式是行为型设计模式的一种。其设计理念是当对...

2023-09-24 17:37 xiyangw

用Select Case语句对执行多条件进行控制
用Select Case语句对执行多条件进行控制

今日的内容是"VBA之EXCEL应用"的第六章"条件判断语句(If...Then...Else)在VBA中的利用"。这讲是第三节...

2023-09-24 17:37 xiyangw

c#入门教程(四)条件判断if else

条件判断,是编程里常用的判断语句,比如某个代码如果满足条件就执行a代码块否则就执行b代码块。案例1:inti=2*5;if(a>0){执行a代码块}elseif(a<0){执行b代码块...

每日学编程之JAVA(十一)—条件语句(if……else)

一个if语句包含一个布尔表达式和一条或多条语句。如果布尔表达式的值为true,则执行if语句中的代码块,否则执行if语句块后面的代码。if语句后面可以跟else语句,当if语句...

不需要策略模式也能避免满屏if/else

除了使用策略模式以外,还可以使用其他设计模式来避免满屏if/else的问题。以下是一些可能的解决方案:工厂模式:将if/else语句移到工厂类中,由工厂类负责创建对象。这样可以将if/else语句从客...

围绕ifelse与业务逻辑的那些梗
围绕ifelse与业务逻辑的那些梗

ifelse很重要,几乎是程序员编程核心,业务逻辑与规则也通过ifelse体现出来,语句简单但是背后文章很大,先看几则幽默图:1.也许默认使用returnf...

2023-09-24 17:36 xiyangw

取消回复欢迎 发表评论: