セキュリティ

GitHubがGit操作時のパスワード認証を廃止、今後はトークンによる認証が必須に


GitHubがコマンドラインでのGit操作時の認証方式のひとつである、パスワード認証を廃止すると発表しました。同サービスは2020年11月にREST API利用時におけるパスワード認証を廃止し、二段階認証などのトークン認証に移行しており、今回の発表はその範囲を拡大した形となります。

Token authentication requirements for Git operations - The GitHub Blog
https://github.blog/2020-12-15-token-authentication-requirements-for-git-operations/

近年、GitHubは二段階認証やサインインアラート、デバイス認証、WebAuthnへの対応など、トークンを基盤としたセキュリティ機能の向上に力を入れてきたとのこと。トークンは「ユーザーごとに固有」「いつでも再発行可能」「アクセス範囲の制限が容易」といった特徴を持つ、パスワード認証よりも強力な認証方法です。

パスワード認証に取って代わる2段階認証とその未来とは? - GIGAZINE


しかし、歴史的な理由により、Git操作時にパスワード認証のみ利用しているアカウントが存在するとGitHubは説明。こうした状況を踏まえ、GitHubは2021年8月13日より「Git操作時のパスワード認証」を廃止することを決定しました。影響を受ける操作は以下のとおりです。

・コマンドラインによるGitアクセス
・Gitを利用しているデスクトップアプリケーション(GitHub Desktopは影響なし)
・GitHub上のGitリポジトリにパスワードを利用して直接アクセスしているアプリやサービス

また、以下のいずれかの条件に当てはまる場合、今回のパスワード認証廃止の影響はありません。

・二段階認証を導入している
・SSHベースの認証を行っている
GitHub Enterprise Serverを利用している
GitHub Appsを利用している

パスワード認証廃止の影響を受ける開発者は、Git操作時にHTTPSやSSHを通してパーソナルアクセストークンを利用した認証に切り替えるか、アカウント全体でGitHubのに段階認証を有効にする必要があります。また、システムのインテグレーターは、認証機能としてOAuthなどを組み込む必要があります。

SNSなどでアクセス権限を与えるために利用される「OAuth 2.0」はどのように動作しているのか? - GIGAZINE


パスワード認証廃止による混乱を緩和するため、GitHubは以下の日程で「一時的な廃止」を行いつつ、2021年8月13日にパスワード認証廃止を予定しています。なお、日程はいずれも日本時間となっています。

◆一時的な廃止期間
・2021年6月30日15~19時
・2021年7月1日1~4時
・2021年7月28日15~19時
・2021年7月29日1~4時

この記事のタイトルとURLをコピーする

・関連記事
GitHubがWebAuthn対応で物理セキュリティキーによる二段階認証を正式にサポート - GIGAZINE

GitHubが不要なCookieをすべて削除、Cookieの利用をユーザーに通知する「Cookieバナー」が消滅 - GIGAZINE

GitHubが2020年のユーザー数やリポジトリ数、人気の高いプログラミング言語やトピックなど使用状況を詳細にまとめたレポート「The State of the Octoverse 2020」を公開 - GIGAZINE

GitHubコミュニティが世界中に拡大していることを示す年次レポートが公開される - GIGAZINE

中国がGitHubの代替として国産サービスの「Gitee」を基にしたプラットフォームの構築を目指している - GIGAZINE

in ネットサービス,   セキュリティ, Posted by log1n_yi

You can read the machine translated English article here.