GitHub 正式关闭账户密码认证服务，改用基于令牌形式的操作认证

8 月 13 日，GitHub 正式宣布，从当地时间 9 点（北京时间 14 日 0 点） 开始，将不再接受账户密码来验证 Git 操作，所有 Git 操作的认证将基于令牌形式。也就是说，从 8 月 14 日开始，开发者将无法使用密码进行身份验证，也就不能进一步执行 Git 操作。

GitHub 在官方博客表示："从 2021 年 8 月 13 日 09:00 PST（北京时间 14 日 0 点） 开始，我们在 GitHub.com 上认证 Git 操作时将不再接受账户密码。取而代之的是，所有需要认证的 Git 操作将需要基于令牌的认证。"

受到影响的工作流有：

• 命令行 Git 访问；
• 使用 Git 的桌面应用程序（GitHub Desktop 不受影响）；
• 使用密码直接访问 GitHub.com 上各 Git repo 的一切应用程序 / 服务。

如果用户已经启用了双因素身份验证（2FA），则代表已经在使用基于令牌或 SSH 的方式进行身份验证，那么则不受此项变更的影响。

GitHub 官方表示，这一举措是为了提高 Git 操作的安全性，防止密码撞库等事情发生。据 Github 2020 年度开发者报告显示，自 2008 年推出以来，GitHub 已经成为互联网上最大的项目管理和开源协作平台，社区已经拥有 5600 万开发者。因此，随着 GitHub 规模和社区影响力的不断变大，安全变得越来越重要。

为此，GitHub 推出了一系列安全增强功能，来帮助用户提升安全水平，比如双因素身份验证、登录警报、认证设备、防止使用已泄露的密码以及支持 WebAuth 等等。在这些功能的支持下，攻击者将更难于获得已经被用于多个网站的重复密码，无法单纯借此完成密码撞库。

与基于密码的传统身份验证机制相比，令牌保护的安全优势比较明显，令牌的使用范围可以严格控制，且令牌的复杂度远高于用户需要硬性记忆并定期输入的简单密码，因此不受字典或暴力破解等行为的影响。

延伸阅读：

https://mp.weixin.qq.com/s/QLIWjCPrMTEUN0dg8MPVPg