GitHub ยกเลิกการยืนยันตัวตนด้วยรหัสผ่านแล้ววันนี้ (13 สิงหาคม 2021) เปลี่ยนมาบังคับล็อกอินด้วยระบบ token แทนแล้ว (ล็อกอินด้วย personal token, OAuth, SSH key, ใช้ token จากแอพ GitHub App บนมือถือ)
ในกรณีที่ผู้ใช้ล็อกอิน GitHub แบบ two-factor authentication อยู่แล้วจะไม่ได้รับผลกระทบใดๆ เพราะเป็นการล็อกอินด้วย token อยู่แล้ว
ผู้ใช้ที่ยังไม่เปลี่ยนมาล็อกอินด้วย token จะไม่สามารถสั่ง Git operation ได้ทั้งจากคอมมานด์ไลน์และแอพเดสก์ท็อป
GitHub ประกาศนโยบายนี้มาตั้งแต่เดือนกรกฎาคม 2020 โดยให้เหตุผลด้านความปลอดภัยที่ดีขึ้น เพราะ token สามารถกำหนดให้อิงตามบัญชีผู้ใช้-อุปกรณ์ได้, ถอน token ได้ถ้ามีปัญหา, จำกัดสิทธิการเข้าถึงได้ดีกว่า และเป็นข้อความสุ่มล้วนๆ ช่วยป้องกัน dictionary/brute force ได้ดีกว่ารหัสผ่าน
GitHub เลิกรับบัญชีใหม่ที่ล็อกอินด้วยรหัสผ่านมาตั้งแต่เดือนพฤศจิกายน 2020 แล้ว ประกาศนี้มีผลกับบัญชีเก่าที่ยังล็อกอินด้วยรหัสผ่านแบบเดิมอยู่
ที่มา - GitHub , The Register
Comments
เปลี่ยนมาใช้ token ให้หมดแล้วเลิกใช้ cookie กันไปเลย
token ก็ยังต้องเก็บอยู่ใน cookie อยู่ดีครับ
https://developer.mozilla.org/en-US/docs/Web/API/Web_Storage_API
ถ้ายังใช้คุกกี้อยู่ เสี่ยงคุกครับมีท่านนึงได้กล่าวไว้
คุกกี้เสี่ยงคุกYoshi300
ผมเข้าไปอ่านต้นทางแล้ว มีผลเฉพาะการใช้งานผ่านคำสั่ง Git นะครับ (git operations) เค้าหมายความว่าถ้ายังใช้รหัสผ่านกับคำสั่ง Git อยู่ จะใช้งานไม่ได้แล้ว ไม่ได้หมายความว่ายกเลิกรหัสผ่านทั้งเว็บนะครับ
ในเนื้อก็เขียนไว้แล้วนี่ครับ
แต่ signup บัญชีใหม่ ก็ยังเป็นให้กำหนดรหัสผ่านอยู่เลยนะ งง?
อันเก่าเวลา request ไปที่ server น่าจะใช้ https://en.wikipedia.org/wiki/Basic_access_authentication ได้ครับ ซึ่งต้องใช้ user, pass encode แล้วส่งไป
แต่พอเปลี่ยนเป็น authorization bearer (token) มันใช้ user, pass เฉพาะตอน request initial token เท่านั้นครับ ไม่งั้นเราจะเอา token มาจากไหนล่ะ ถ้าไม่ใช้ user, pass
อาจจะเป็นที่ topic ข่าว คำว่า authentication กับ login มันคนละการกระทำกันน่ะ เลยทำสับสนได้
+1