GitHub 新提供了在进行 SSH Git 操作时使用 FIDO2 安全密钥的支持,以增加对账户的保护。
两年前,北卡罗来纳州立大学(NCSU)的研究人员发现,在近 6 个月内扫描了大约 13% 的 GitHub 公共存储库后,有超过 10 万个 GitHub 存储库泄露了 API 令牌和加密(SSH 和 TLS)密钥。更糟糕的是,他们还发现,每天还有数以千计的新存储库也在泄露安全隐私。
为了进一步提高 GitHub 账户的防盗能力,GitHub 现在支持 FIDO2 安全密钥,用户可以使用便携式 FIDO2 设备进行 SSH 认证,以确保 Git 操作的安全,并防止私人密钥意外暴露和恶意软件未经批准而发起请求。
并且,GitHub 建议用户用安全密钥支持的 SSH 密钥替换所有之前注册的 SSH 密钥,这样可以保证用户是唯一能够通过 SSH 管理项目的 Git 数据的人。此外,GitHub 会自动从用户的账户中删除不活跃的 SSH 密钥(超过一年未使用)。
去年 12月,GitHub 就宣布,从 2021 年 8 月开始,其将切换到基于令牌的认证,届时账户密码将不再被接受用于认证 Git 操作。同时,GitHub 也是最早改用网络认证(WebAuthn)进行双因素认证的安全密钥的公司之一,并且是 FIDO 通用第二因素(U2F)开放认证标准的早期采用者。
