GitHub黑客防范新措施:销毁账簿保密Git操作,改为token或SSH密钥,14日0时执行-量子比特
- 时间:
- 浏览:0
GitHub上面的Git操作是否通过账号+密码进行认证?
加快标记(标记)或整个SSH密钥。
GitHub官方称,这是为了提高Git操作的安全性,防止密码与程序库发生冲突等事态的措施。
哪些操作会受到影响。简而言之,在对Git操作进行账目保密验证的情况下,这些行为都会受到影响:
使用命令行Git访问Git的桌面应用程序(GitHub桌面不受影响)帐簿秘密访问GitHub上Git repo的所有应用程序/服务这些用户不受影响:
已使用Token或SSH密钥进行验证。也就是说,启用双向认证(2FA)的用户使用企业服务器本地产品的用户(该产品没有变更)使用GitHubApp的用户,到目前为止不支持账簿认证大部分经常使用Git的用户都应该知道这一点。
今年6月30日(15~18时)、7月1日(0~3时)、7月28日(15~18时)、29日(0~3时)、GitHub对这件事进行了预演,所有的Git操作都要求用token或SSH密钥进行验证。
目前,这一措施已成为一项永久性措施。
GitHub到底为什么要这么做?
token和SSH密钥的安全性在哪里。首先,您需要了解仅凭帐户和密码进行身份验证有什么危险。
在互联网上,每天都有很多网站被黑客入侵,数据外泄,这些数据包括很多用户的账号密码。
一旦你获得了账号密码,黑客就会尝试用它们登录其他网站。所谓的密码冲突库。
简而言之,如果你的ABC网站使用的是一组账号密码,在A网站密码泄露后,BC网站也可能被盗号。
接着,开始强制用户使用令牌或SSH密钥进行认证。相比账簿的保密性,两者的安全性明显更高:
唯一性:GitHub仅限使用,根据设备/使用次数生成可撤销性:可随时单独撤销,其他凭证不受影响的地域性:使用范围可控,只能在部分访问活动中执行随机性:不受冲突库影响复杂度高于账面密度时,token和SSH密钥之间哪个更合适?
现在GitHub官方推荐的是token,因为设置得更简单,但是SSH密钥的安全性更高。
没有设置token和SSH键的Git用户,可以按官方教程进行整顿~
GitHub教程的设定:[1]https://docs.GitHub.com/en/GitHub/authenticating-to-GitHub/keeping-your-account-and-data-secure/creating-a-personal-access-token[2]https://docs.GitHub.com/en/GitHub/authenticating-to-GitHub/connecting-to-GitHub-with-ssh/generating-a-new-ssh-key-and-adding-it-to-the-ssh-agent
参考链接:[1]https://GitHub.blog/changelog/2021-08-12-git-password-authentication-is-shutting-down/[2]https://www.theregister.com/2021/08/12/git_proxyshell_gigabyte/