還在用賬戶 + 密碼對(duì) GitHub 上的 Git 操作進(jìn)行身份驗(yàn)證？

趕緊整個(gè) token（令牌）或 SSH 密鑰吧！

8 月 14 號(hào) 0 點(diǎn)（8 月 13 日 9:00 PST）開(kāi)始，在 GitHub 上執(zhí)行 Git 操作就會(huì)導(dǎo)致失敗。

GitHub 官方表示，這一舉措是為了提高 Git 操作的安全性，防止密碼撞庫(kù)等事情發(fā)生。

哪些操作會(huì)受影響？

簡(jiǎn)單來(lái)說(shuō)，如果你還在用賬密驗(yàn)證 Git 操作，這些行為都會(huì)受到影響：

• 命令行 Git 訪問(wèn)
• 采用 Git 的桌面應(yīng)用程序（GitHub Desktop 不受影響）
• 賬密訪問(wèn) GitHub 上 Git repo 的一切應(yīng)用程序/服務(wù)

這些用戶不會(huì)受影響：

• 已經(jīng)采用 token 或 SSH 密鑰方式驗(yàn)證，即啟用雙因素身份驗(yàn)證（2FA）的用戶
• 使用 GitHub Enterprise Server 本地產(chǎn)品的用戶（該產(chǎn)品尚未對(duì)此進(jìn)行更改）
• 使用 GitHub App 的用戶，此前已經(jīng)不支持賬密驗(yàn)證

當(dāng)然，大部分經(jīng)常使用 Git 的用戶應(yīng)該都已經(jīng)知道這件事了。

在今年 6 月 30 號(hào)（15~18 時(shí)）、7 月 1 號(hào)（0~3 時(shí)）、7 月 28 號(hào)（15~18 時(shí)）和 29 號(hào)（0~3 時(shí)），GitHub 已經(jīng)針對(duì)這件事進(jìn)行了預(yù)演，所有 Git 操作都被要求用 token 或 SSH 密鑰驗(yàn)證。

現(xiàn)在，這項(xiàng)舉措已經(jīng)變成一個(gè)永久措施。

GitHub 究竟為什么要這樣做呢？

token 和 SSH 密鑰安全在哪里？

首先需要了解，只用賬戶和密碼進(jìn)行身份驗(yàn)證會(huì)有什么隱患。

互聯(lián)網(wǎng)上，每天都有大量網(wǎng)站遭受黑客攻擊，導(dǎo)致數(shù)據(jù)外泄，這些數(shù)據(jù)中就包括不少用戶的賬號(hào)密碼。

拿到賬號(hào)密碼后，黑客會(huì)用它們?cè)囍卿浧渌W(wǎng)站，也就是所謂的密碼撞庫(kù)。

簡(jiǎn)單來(lái)說(shuō)，如果你 ABC 網(wǎng)站用的是一套賬戶密碼，在 A 網(wǎng)站的密碼被泄露后，BC 網(wǎng)站也可能會(huì)被盜號(hào)。

為了防止密碼撞庫(kù)，網(wǎng)站會(huì)采取更多手段驗(yàn)證身份信息，像 GitHub 就推出了雙因素身份驗(yàn)證、登錄警報(bào)、設(shè)備認(rèn)證、防用泄露密碼及支持 WebAuth 等措施。

雙因素身份驗(yàn)證，是指在秘密信息（密碼等）、個(gè)人物品（身份證等）、生理特征（指紋/虹膜/人臉等）這三種因素中，同時(shí)用兩種因素進(jìn)行認(rèn)證的過(guò)程。

現(xiàn)在，GitHub 開(kāi)始強(qiáng)制用戶采用 token 或 SSH 密鑰進(jìn)行身份驗(yàn)證。相比于賬密，這兩者的安全性顯然更高：

• 唯一性：僅限 GitHub 使用，根據(jù)設(shè)備/使用次數(shù)生成
• 可撤銷(xiāo)性：可隨時(shí)被單獨(dú)撤銷(xiāo)，其他憑證不受影響
• 區(qū)域性：使用范圍可控，只允許在部分訪問(wèn)活動(dòng)中執(zhí)行
• 隨機(jī)性：不受撞庫(kù)影響，比賬密復(fù)雜度更高

那么，token 和 SSH 密鑰之間，哪個(gè)更合適呢？

雖然目前 GitHub 官方推薦的是 token，因?yàn)樗O(shè)置更為簡(jiǎn)單，不過(guò)相比之下，SSH 密鑰的安全性要更高一些。

還沒(méi)有設(shè)置 token 或 SSH 密鑰的 Git 用戶，可以戳官方教程整起來(lái)了~

GitHub 設(shè)置教程：

[1]https://docs.github.com/en/github/authenticating-to-github/keeping-your-account-and-data-secure/creating-a-personal-access-token

[2]https://docs.github.com/en/github/authenticating-to-github/connecting-to-github-with-ssh/generating-a-new-ssh-key-and-adding-it-to-the-ssh-agent

參考鏈接：

[1]https://github.blog/changelog/2021-08-12-git-password-authentication-is-shutting-down/

[2]https://www.theregister.com/2021/08/12/git_proxyshell_gigabyte/