GitHub 废除基于密码的 Git 身份验证

近日 ，代码托管 平台 GitHub于当地时间8月13 日周五 这天 正式 废弃 了基于 密码 的Git身份 考证 。 

从09 :00 PST （PST 是北美 安定 洋规范 时间 ，北京时间 14 日0点）开端 ，运用 GitHub开发者 将需求 切换 到基于 令牌 的身份 考证 去执行 Git操作 ，基于 令牌 的认证 包括 个人 接入 、OAuth、SSHKey活GitHubApp装置 令牌 。

此前 在2020 年12 月15 日，GitHub就在官方 博客 上宣布 ：”从2021 年8月13 日开端 ，在GitHub.com 上执行 Git操作 时，不再 承受 以账户 密码 的方式 完成 身份 考证 。”

改换 身份 考证 方式 的缘由

实践 上早在2020 年7月30 日，GitHub也曾表示 ：“将在一切 需求 身份 考证 的Git操作 中运用 基于 令牌 的考证 机制 ，比方 个人 访问 、OAuth或者 GitHubApp装置 令牌 。 

假如 用户 目前 正在 运用 密码 经过 GitHub.com 对Git操作 停止 身份 考证 ，则将很快 收到 一封电子邮件 ，敦促 用户 更新 身份 考证 办法 或第三方 客户端 。”

同时 官方 也给出 了改换 身份 考证 方式 的时间 布置 ：

2020 年7月30 日——假如 用户 如今 运用 密码 经过 API 停止 身份 考证 ，可能 会收到 一封电子邮件 ，敦促 用户 更新 身份 考证 办法 或第三方 客户端 。

2020 年9月30 日和 10 月28 日——一切 API 操作 都将暂时 需求 个人 访问 或OAuth令牌 ，以鼓舞 用户 更新 其身份 考证 办法 。

2020 年11 月13 日——一切 经过 RESTAPI停止 身份 考证 的操作 都需求 个人 访问 或OAuth令牌 （运用 GraphQLAPI停止 身份 考证 曾经 需求 个人 访问 令牌 ）。

2021 年中期 –——一切 经过 身份 考证 的Git操作 都需求 个人 访问权限 或OAuth令牌 。

GitHub官方 以为 ，近年来 受益 于GitHub.com 的许多 平安 加强 功用 ，例如 双要素 身份 考证 、登录 警报 、经过 考证 的设备 、避免 运用 受损 密码 和WebAuthn支持 。 

这些 功用 使攻击者 很难 在多个 网站 上获取 反复 运用 的密码 并运用 它来尝试 访问 用户 的GitHub帐户 。 

虽然 这些 平安 考证 方式 有了 一些 改良 ，但是 由于 历史 缘由 ，未启用 双要素 身份 考证 的客户 仍可以 运用 其GitHub用户名 和密码 继续 对Git和API 操作 停止 身份 考证 ，

招致 这局部 用户账户 平安 遭到 要挟 。

而且 GitHub也以为 与基于 密码 的身份 考证 相比 ，令牌 的运用 提供 了许多 平安 优势 ：

独一 性——令牌 特定 于GitHub，可按运用 次数 或按设备 生成 。

可撤销 ——能够 随时 单独 撤销 令牌 ，不需求 更新 未受影响的凭据

有限性 ——令牌 的运用 范围 严厉 控制 ，仅允许 执行 用例 中需求 的访问 活动

随机性 ——令牌 的复杂度 远高于 用户 设计 的简单 密码 ，因而 不受 暴力破解 等行为 的影响 。

启动 最新 身份 考证 方式 的影响

工作流程 受影响

命令行 Git访问

运用 Git的桌面应用程序 （GitHubDesktop不受影响）

运用 用户 的密码 直接 访问 GitHub.com 上的Git存储 库的任何 应用程序 /效劳

不受 更改 的影响 ：

假如 用户 的帐户 启用 了双要素 身份 考证 ，需求 运用 基于 令牌 或基于 SSH 的身份 考证 。

假如 用户 运用 GitHubEnterpriseServer，对此 不受影响。

假如 用户 维护 一个 GitHubApp，GitHubApps不支持 密码 认证 。

用户需求做什么

关于 开发人员 ，假如 用户 如今 需求 运用 密码 对GitHub.com 的Git操作 停止 身份 考证 ，则必需 在2021 年8月13 日之前 经过 HTTPS （引荐 ）或SSH 密钥 开端 运用 个人 访问 令牌 ，以防止 中缀 。 

假如 用户 收到 邮件 提示 ，提示 运用 的是过时 的第三方 集成 ，则应将客户端 更新 到最新版本 。

关于 集成商 ，必需 在2021 年8月13 日之前 运用 网络 或设备 受权 流程 对集成 停止 身份 考证 ，以防止 中缀 。 

有关 更多信息 ，请参阅 授OAuth应用程序 和开发者 博客 上的公告 。

能够 启用 两要素 身份 考证 ，假如 用户 想确保 本人 帐户 不允许基于 密码 的身份 考证 ，能够 立刻 启用 双要素 身份 考证 。 

这将请求 用户 经过 Git和第三方 集成 对一切 经过 身份 考证 的操作 运用 个人 访问 令牌 。