GitHub周四(8/12)警告,从太平洋标准时间(PST)8月13日早上9点(8月14日凌晨1点)起,GitHub.com将不再接受以账号/密码进行身份验证的方式来执行Git操作,而是必须采用基于权限(Tokens)的身份验证方式才行。
其实GitHub自去年底就发布了该消息,目的是为了保护该站用户的账号安全,并鼓励用户通过个人访问权限、OAuth、SSH Key或GitHub App等方式进行身份验证。
为了协助用户适应该变更,GitHub早在今年的6月与7月各执行两次的演习,暂时关闭对密码验证的支持,以密码执行的Git操作也会失效。
GitHub指出,相较于密码,权限具备许多安全优势,包括它是个单次、独一无二且专为GitHub产生的,还可随时个别撤销且不必更新凭证,还能缩小可访问的范围,并能预防诸如字典攻击或暴力破解等形态的攻击行动。