Microsoft の GitHub は、2 週間前のパスワードなしのテスト期間を経て、2021 年 8 月 13 日より、Git 操作の認証方法としてアカウント パスワードの受け入れを停止する予定です。
計画されている変更は、ユーザー名、パスワード、そしてモバイルデバイスに送信されるパスコードや時間ベースのワンタイム(TOTP)コードなどの2つ目の認証要素を使用してウェブブラウザでGitHubアカウントにログインする機能には影響しません。ただし、この変更はGit操作、つまりGitHubでホストされるGitソフトウェアリポジトリを操作するためのコマンドとAPIに適用されます。
GitHubのセキュリティエンジニアであるマシュー・ラングロワ氏は水曜日のブログ投稿で、この手続きの変更は、GitHub.com上のすべての認証済みAPI操作にトークンベースの認証を義務付けるという7月に発表され先月実施された計画に従ったものだと述べた。
来年 8 月からは、この要件はすべての Git 関連のコマンド ライン操作、Git を使用するデスクトップ アプリ (GitHub Desktop を除く)、およびパスワード経由で GitHub 上の Git リポジトリにアクセスするソフトウェアまたはサービスに拡張されます。
GitHub Codespacesのプレビュー版にはまだ明らかな欠陥がいくつかあるが、CEOは準備ができたらすぐに公開すると主張
続きを読む
クラウドコードストレージサービスGitHubは、ユーザーへの対策として、2021年8月13日の期限前に7月28日と30日の2回の計画停電(ブラウンダウン)を予定しています。この停電では、パスワード認証のサポートが数時間にわたって無効になります。この計画停電中は、パスワードに関連するGit操作は実行できません。GitHubは、開発者にパスワード認証の徹底を促すことを期待しています。
GitHubでは、Gitとのやり取りにおけるパスワードの代わりに、トークンベースの認証が必要になります。開発者の場合は個人アクセストークン、インテグレーターの場合はOAuthまたはGitHub Appインストールトークンが必要です。トークンではなくSSHキーをご利用の場合は、引き続きご利用いただけます。
ラングロワ氏は、トークンにはパスワードに比べていくつかの利点があると主張している。具体的には、サービス、デバイス、または特定の使用法に対して一意にするのが簡単であること、他の認証情報に影響を与えずに取り消し可能であること、特定の使用に限定するのが簡単であること、そしてランダムであるため、覚えやすさを重視して簡素化されたパスワードに対する辞書攻撃やブルートフォース攻撃の影響を受けにくいことなどだ。
トークンは、人々が「solarwinds123」のような脆弱なパスワードを選択しないことを意味します。開発者がコードをコミットする際に誤ってトークンを含めないことを保証するものではありませんが、GitHubのトークンスキャンサービスは、不運な開発者を自ら救うのに役立つかもしれません。
Microsoftは、パスワード認証をより安全な認証チェックに置き換えるという使命を掲げています。この取り組みは、Microsoftの共同創業者であるビル・ゲイツが2004年にパスワードからの脱却を提唱したことに始まります。GitHubはまだその目標には達していませんが、Gitの操作からパスワードを排除することは、その方向への一歩です。®
