O GitHub anunciou em julho de 2020, a intenção de exigir o uso de autenticação baseada em token, como, por exemplo, um acesso pessoal, OAuth ou token de instalação do aplicativo GitHub, mas para todas as operações o Git autenticadas. A partir do dia 13 de agosto de 2021, não será aceito mais senhas de contas ao autenticar operações Git em GitHub.com.
Trabalho afetado
- Acesso Git de linha de comando
- Aplicativos de desktop usando Git (GitHub Desktop não é afetado)
- Quaisquer aplicativos / serviços que acessam repositórios Git em GitHub.com diretamente usando sua senha
Clientes que não foram afetados por esta mudança:
- Se você tiver a autenticação de dois fatores ativada para sua conta, já será necessário usar a autenticação baseada em token ou SSH.
- Se você usa o GitHub Enterprise Server, não anunciamos nenhuma mudança em nossa oferta local.
- Se você mantém um aplicativo GitHub, os aplicativos GitHub não são compatíveis com autenticação de senha.
A motivação da empresa como foi descrita como nos anúncios da mudança semelhante à autenticação com a API da seguinte forma:
“Nos últimos anos, os clientes do GitHub se beneficiaram de vários aprimoramentos de segurança do GitHub.com, como autenticação de dois fatores, alerta de entrada, dispositivos verificados, prevenção do uso de senhas comprometidas e suporte WebAuthn . Esses recursos dificultam para um invasor pegar uma senha que foi reutilizada em vários sites e usá-la para tentar obter acesso à sua conta GitHub. Apesar dessas melhorias, por motivos históricos, os clientes sem a autenticação de dois fatores habilitada podem continuar a autenticar as operações do Git e API usando apenas seu nome de usuário e senha do GitHub.”
Após a data do dia 13 de agosto não será mais aceito senhas de conta ao autenticar operações Git e será exigido pela empresa a utilização de autenticação baseada em token, como um token de acesso pessoal (para desenvolvedores) ou um token de instalação de aplicativo OAuth ou GitHub (para integradores), mas para todas as operações Git autenticadas em GitHub.com.
Vários benefícios de segurança são oferecidos com os tokens, em relação à autenticação baseada em senha:
- Único – os tokens são específicos do GitHub e podem ser gerados por uso ou por dispositivo.
- Revogável – os tokens podem ser revogados individualmente a qualquer momento, sem a necessidade de atualizar as credenciais não afetadas.
- Limitado – os tokens podem ter um escopo restrito para permitir apenas o acesso necessário para o caso de uso.
- Aleatório – os tokens não estão sujeitos aos tipos de dicionário ou tentativas de força bruta que as senhas mais simples que você precisa lembrar ou inserir regularmente podem estar.
Para os desenvolvedores, que estiverem usando uma senha para autenticar operações Git com GitHub.com hoje, devem começar a usar um token de acesso pessoal por HTTPS (recomendado) ou chave SSH até 13 de agosto de 2021, para poder evitar interrupções. Mas se receberem um aviso de que está usando uma integração de terceiros desatualizada, deverá atualizar seu cliente para a versão mais recente.
Para integradores, devem autenticar as integrações usando os fluxos de autorização da Web ou de dispositivo até 13 de agosto de 2021, para evitar interrupções. Para poderem obter mais informações, consulte Autorizando aplicativos OAuth e o anúncio no blog do desenvolvedor.
