GitHub сдержал обещание и перевел всех пользователей на обязательное использование токенов или SSH-ключей. Таким образом сервис намерен защитить своих клиентов от злоумышленников.

Изменение произошло

13 августа GitHub прекратил поддержку парольной аутентификации при подключении к Git. Теперь разработчики должны использовать либо персональные токены GitHub или OAuth, либо SSH-ключи. Компания рекомендует всем пользователям, которые использовали пароли, изменить текущий метод аутентификации или сторонний клиент. В противном случае клиент сервиса лишится доступа к командной строке Git, не сможет организовать работу настольных программ, использующих Git, а также любых приложений, сайтов и сервисов, которые ранее обращались к репозиториям Git.

Исключение сделано только для аккаунтов, использующих двухфакторную аутентификацию. Разработчики GitHub уверены, что данный способ подтверждения личности уже достаточно безопасен, поэтому владелец такого репозитория может по-прежнему использовать пароль.

Что поменялось

Использование SSH-ключей с протоколом FIDO2 для доступа к операциям Git – достаточно новая функция GitHub, которая появилась лишь 10 мая этого года. После генерации пары из закрытого и открытого ключей получить доступ к репозиторию без физического владения устройством разработчика станет невозможно. Команда хостинга ИТ-проектов рекомендует использовать именно новый метод хранения SSH-ключей вместо менее безопасных старых версий, которые не предполагали использование токенов.

В GitHub отмечают, что, в отличие от паролей, использование SSH гарантирует: выполнение операций Git доступно лишь единственному пользователю, который обладает необходимым ключом безопасности FIDO2. Такой метод обеспечивает лучшую защиту, т.к. позволяет не контролировать все созданные ранее ключи SSH.

Давние планы

О прекращении поддержки паролей и плановом переходе на SSH-ключи и токены GitHub сообщил 15 декабря 2020 года. Для тестирования грядущих изменений владельцы хостинга 30 июня и 28 июля 2021 года на шесть часов полностью отключили возможность использовать пароли – аутентификация была возможна лишь при использовании более безопасных методов. Кроме проведения тестов, акция должна была напомнить пользователям о важности использования токенов и SSH-ключей.