GitHub周一(5/10)宣布,当用户通过SSH协议使用Git时,未来将可利用实体安全密钥来强化账号的保护。
为了保护用户的账号安全,GitHub已宣布自今年的8月13日起,就不再接受于该站执行Git操作时,以账号及密码来进行身份验证,而必须以权限(Token)进行验证;有鉴于GitHub用户偶尔会不小心外泄自己的SSH密钥,GitHub决定集成实体密钥的功能,再替用户账号添增多一层的保护。
北卡罗来纳州立大学的研究人员曾于两年前,扫描GitHub上的公共存储库,发现约有13%存储库暴露了API权限与加密密钥,数量超过10万个。
GitHub说明,当以实体密钥搭配SSH使用时,实体密钥会把SSH密钥的机密部分转移到实体密钥上,而且这些SSH密钥可与实体密钥绑定,不必再担心私钥曝光或被恶意程序入侵等意外。
此外,集成实体密钥的SSH用法与过去并无不同,用户可利用实体密钥来产生SSH密钥,并把它们加到账号中,也可创建配对的公钥与私钥,公钥一样存放于用户的机器上,最大的差异在于私钥将会被引跳转至实体密钥。因此,就算用户放在计算机上的私钥文件被偷了,没有实体密钥也无法使用,若在搭配实体密钥的状态下使用SSH,没有任何的机密信息会离开实体密钥。
GitHub认为,实体密钥将可带来更高端的账号安全保护,还可避免账号被接管,也建议用户移除先前注册的SSH密钥,只使用集成实体密钥的SSH密钥,此外,就算作为一般的账号验证工具,实体密钥也是一个取回账号的优良选项。