GitHub аб рашэнні адмовіцца ад падтрымкі парольнай аўтэнтыфікацыі пры падлучэнні да Git. Прамое выкананне аперацый з Git, патрабавальных аўтэнтыфікацыі, будзе магчыма толькі пры выкарыстанні SSH-ключоў ці токенаў (персанальныя токены GitHub ці OAuth). Аналагічнае абмежаванне таксама будзе прымяняцца для REST API. Новыя правілы аўтэнтыфікацыі для API будуць ужытыя 13 лістапада, а ўзмацненне жорсткасці доступу да Git запланавана на сярэдзіну наступнага года. Выключэнне будзе прадстаўлена толькі ўліковым запісам, якія выкарыстоўваюць , якія змогуць падлучацца да Git па паролі і дадатковым коду пацверджання.
Мяркуецца, што ўзмацненне жорсткасці патрабаванняў да аўтэнтыфікацыі дазволіць абараніць карыстачоў ад кампраметацыі іх рэпазітароў у выпадку ўцечкі карыстацкіх баз ці ўзлому іншых сэрвісаў, на якіх карыстачы выкарыстоўвалі адны і тых жа паролі з GitHub. З добрых якасцяў аўтэнтыфікацыі па токенаў завецца магчымасць генерацыі асобных токенаў для пэўных прылад і сеансаў, падтрымка водгуку скампраметаваных токенаў без змены ўліковых дадзеных, магчымасць абмежавання вобласці доступу праз токен, неподверженность токенаў азначэнню метадам перабору (brute force).
Крыніца: opennet.ru