GitHubがGit操作時のパスワード認証を廃止、今後はトークンによる認証が必須に

GitHubがコマンドラインでのGit操作時の認証方式のひとつである、パスワード認証を廃止すると発表しました。同サービスは2020年11月にREST API利用時におけるパスワード認証を廃止し、二段階認証などのトークン認証に移行しており、今回の発表はその範囲を拡大した形となります。

Token authentication requirements for Git operations - The GitHub Blog
https://github.blog/2020-12-15-token-authentication-requirements-for-git-operations/

近年、GitHubは二段階認証やサインインアラート、デバイス認証、WebAuthnへの対応など、トークンを基盤としたセキュリティ機能の向上に力を入れてきたとのこと。トークンは「ユーザーごとに固有」「いつでも再発行可能」「アクセス範囲の制限が容易」といった特徴を持つ、パスワード認証よりも強力な認証方法です。

パスワード認証に取って代わる2段階認証とその未来とは？ - GIGAZINE

しかし、歴史的な理由により、Git操作時にパスワード認証のみ利用しているアカウントが存在するとGitHubは説明。こうした状況を踏まえ、GitHubは2021年8月13日より「Git操作時のパスワード認証」を廃止することを決定しました。影響を受ける操作は以下のとおりです。

・コマンドラインによるGitアクセス
・Gitを利用しているデスクトップアプリケーション(GitHub Desktopは影響なし)
・GitHub上のGitリポジトリにパスワードを利用して直接アクセスしているアプリやサービス

また、以下のいずれかの条件に当てはまる場合、今回のパスワード認証廃止の影響はありません。

・二段階認証を導入している
・SSHベースの認証を行っている
・GitHub Enterprise Serverを利用している
・GitHub Appsを利用している

パスワード認証廃止の影響を受ける開発者は、Git操作時にHTTPSやSSHを通してパーソナルアクセストークンを利用した認証に切り替えるか、アカウント全体でGitHubの二段階認証を有効にする必要があります。また、システムのインテグレーターは、認証機能としてOAuthなどを組み込む必要があります。

SNSなどでアクセス権限を与えるために利用される「OAuth 2.0」はどのように動作しているのか？ - GIGAZINE

パスワード認証廃止による混乱を緩和するため、GitHubは以下の日程で「一時的な廃止」を行いつつ、2021年8月13日にパスワード認証廃止を予定しています。なお、日程はいずれも日本時間となっています。

◆一時的な廃止期間
・2021年6月30日15～19時
・2021年7月1日1～4時
・2021年7月28日15～19時
・2021年7月29日1～4時