Gemäß dem vorher festgelegten Plan wird GitHub die Unterstützung für die Verbindung zu Git-Objekten mit Passwortauthentifizierung einstellen. Diese Änderung tritt heute um 19 Uhr (MSK) in Kraft. Danach werden direkte Git-Operationen, die eine Authentifizierung erfordern, nur noch über SSH-Schlüssel oder Tokens (persönliche GitHub-Tokens oder OAuth) möglich sein. Eine Ausnahme wird nur für Konten gemacht, die die Zwei-Faktor-Authentifizierung aktivieren und sich mit einem Passwort und einem zusätzlichen Schlüssel anmelden.
Es wird angenommen, dass die verschärften Anforderungen an die Authentifizierung die Benutzer vor der Kompromittierung ihrer Repositories schützen, falls Benutzerdatenbanken geleakt oder Drittdienste gehackt werden, bei denen Benutzer dieselben Passwörter wie bei GitHub verwendet haben. Zu den Vorteilen der Token-Authentifizierung gehören: die Möglichkeit, separate Tokens für bestimmte Geräte und Sitzungen zu generieren, die Unterstützung für das Widerrufen kompromittierter Tokens ohne Änderung der Anmeldeinformationen, die Möglichkeit, die Zugriffsbereiche über Tokens einzuschränken sowie die Sicherheit der Tokens gegen Brute-Force-Angriffe.
Quelle: opennet.ru
