GitHub.com上所有Git操作将要求权杖身份验证

GitHub宣布，从2021年8月13日开始，在GitHub.com上Git操作的身份验证，不再接受账号密码的验证方式，将会要求基于权杖（Token）的身份验证，包括个人存取权杖，或是OAuth、GitHub应用程序安装权杖，而用户仍可以根据需求，继续使用SSH金钥。

GitHub最近在GitHub.com上，启用了多项安全强化功能，包括双因素验证、登入警示、验证装置，并阻挡使用遭泄露密码，而这些功能有效防止恶意人士，使用从其他网站窃取来的账号密码，登入使用者的GitHub账户，但官方提到，因为部分原因，使得目前未启用双因素验证的使用者，可继续使用账号密码，作为Git和API操作的身份验证方法。

但是官方现在决定，明年全面禁止在Git操作以账号密码验证身份，用户必须使用基于权杖（Token）的身份验证方法，才能够继续Git操作，官方提到，令牌有许多好处，首先身份验证权杖是专为GitHub生成，可以绑定使用方式以及装置，而且权杖可以随时被单独撤销，不需要更新未受影响的凭证。第三，权杖具有限的应用范围，能够仅允许使用案例需要的存取，另外，权杖也不会受到字典或是暴力破解攻击。

受到影响的工作流程，包括命令列工具的Git存取，以及Git桌面应用程序，还有目前使用账号密码，直接存取GitHub.com上Git存储库的任何应用与服务。

现在仍使用账号密码于GitHub.com验证Git操作的开发人员，需要在2021年8月13日之前，开始使用HTTPS个人存取权杖或是SSH金钥，避免之后的操作受到影响，而当用户收到警示，则代表用户正使用过时的第三方整合，应该更新客户端至最新版本。而对整合商来说，也必须于2021年8月13日之前，使用网页或是装置完成授权流程以验证整合。

当使用者已经启用双因素验证保护账户，则已被要求使用权杖与SSH身份验证，因此不受此更改影响，另外，GitHub Enterprise Server的使用者，也不在此更改的影响范围中。因此用户要确保账户不再允许账号密码身份验证，可以启动双因素验证，这个过程会要求用户透过Git和第三方整合，在所有身份验证操作使用个人存取权杖。

官方将会发送电子邮件给受影响的用户，并预计在2021年6月30日和7月28日，暂时仅允许权杖身份验证，敦促用户更新身份验证方法，而在8月13日后，所有Git操作都限制要求使用权杖或是SSH金钥进行身份验证。