15 декабря 2020 года веб-сервис для хостинга IT-проектов и их совместной разработки GitHub предупредил всех пользователей о плановом переходе на токены и SSH-ключи при доступе к Git. Доступ только по паролям к Git будет заблокирован с 13 августа 2021 года.
GitHub пояснил, что это делается для защиты пользователей и предотвращения использования злоумышленниками похищенных или взломанных паролей.
GitHub рекомендует пользователям, которые сейчас используют только парольную аутентификацию для Git, обновить текущий метод аутентификации или сторонний клиент. Новое ограничение не затронет пользователей, которые уже используют двухфакторную аутентификацию.
GitHub уведомил, что 30 июня и 28 июля 2021 года в тестовых целях доступ для всех операций с Git в течение шести часов (заявлено два промежутка: 7:00 AM UTC – 10:00 AM UTC и 4:00 PM UTC – 7:00 PM UTC) будет возможен только с использованием аутентификации по токену или SSH-ключу. Это делается специально, чтобы напомнить пользователям о необходимости смены метод аутентификации, а также для проверки механизма отключения доступа по паролям.
С 13 августа 2021 года GitHub будет требовать аутентификацию по токену или SSH-ключу для всех операций с Git, включая доступ к командной строке Git, работу настольных приложений, использующих Git, а также работу любых приложений и сервисов, которые ранее обращались к репозиториям Git на GitHub.com напрямую, используя пароль.
darkAlert
чем пароль то мешает
rsashka
Пароль не мешает. Но тем, кто не захочет заморачиваться с настройкой сертификатов, придется привязывать свой телефон как самый простой способ двухфакторной аутентификации.
jedecuz
Недостаточной глубиной погружения зонда.
vlreshet
И чем это SSH-ключ «углубляет зонд», по сравнению с паролем?
Cheater
Ничем, но, как написали выше, большинство просто привяжет телефон вместо того чтобы разбираться, что такое ssh ключ или PAT.
amarao
С учётом целевой аудитории гитхаба, множество людей, которые не могут разобраться с "ssh-ключ" является пренебрежимо малым. Не в количестве, а в их интеграционном качестве — что они пользуются гитхабом, что нет, человечеству от этого никакой разницы не будет.
dartraiden
Зачем привязывать телефон, достаточно привязать TOTP-аутентификатор.
abby
Возможно просто минимизируют attack surface.
К примеру, утёкший пароль даёт доступ сразу ко всему, а для каждого token'а, надаюсь можно ограничить доступ только к определенным данным и операциям.
Так же подозреваю, что многие использовали пароль везде где можно, а теперь github подталкивает к использованию разных token'ов для каждого места. В итоге, если в одном месте что-то пошло не так, то не надо менять пароль (стоит ли все равно обновить все токены?..), а так же, надеюсь, что можно будет отследить, все операции для конкретного token и выяснить, где дыра.
anonymous
Под token имеется в виду физическое устройство, генерирующее одноразовые пароли, например Yubico Security Key.
abby
не, простыми словами, это строка, которую как-то генерит github и предлагает использовать
tyderh
Помните волну требований выкупов за взломанные репозитории?
Аккаунты пользователей брутили именно через git-доступ, потому что там вообще никаких проверок не было, и это (на тот момент, как сейчас — не знаю) даже не отображалось в security-логах в аккаунте.