A plataforma de hospedagem de código da Microsoft, o GitHub, anunciou que quer parar de aceitar senhas de contas do GitHub como forma de autenticar as operações pelo Git. As senhas vão ser substituidas por tokens autenticadores. A mudança se aplica somente ao software Git e não interfere no login do GitHub. Esta mudança passa a valer depois do dia 13 de agosto de 2021.
- Pesquisador que invadiu Twitter de Donald Trump não vai ser punido
- 45 milhões de exames médicos de pacientes do mundo inteiro estavam desprotegidos na web
- Twitter demora 14 dias para avisar sobre vulnerabilidade e é multado em € 450 mil na Irlanda
De acordo com Matthew Langlois, engenheiro de segurança do GitHub, a atualização segue um plano de mudanças de segurança que começou em julho deste ano. No mês passado, todas as operações de API autenticadas pelo GitHub passaram a exigir um token de segurança.
"A partir de 13 de agosto de 2021, não aceitaremos mais senhas de conta ao autenticar operações Git e exigiremos o uso de autenticação baseada em token, como um token de acesso pessoal (para desenvolvedores) ou um token de instalação de aplicativo OAuth ou GitHub (para integradores) para todas as operações Git autenticadas em GitHub.com. Você também pode continuar usando as chaves SSH onde preferir”, escreve Langlois no blog d GitHub.
Para Langlois, os tokens são mais seguros e confiáveis que as senhas tradicionais. “Os tokens oferecem vários benefícios de segurança em relação à autenticação baseada em senha", diz.
Um dos benefícios é que, nesse caso, os tokens são específicos do GitHub, podendo ser gerados por uso ou por dispositivo. Tokens também são revogáveis, ou seja, podem ser revogados individualmente, em qualquer momento, “sem a necessidade de atualizar as credenciais não afetadas”. Mas o principal benefício é que os tokens são aleatórios. “Os tokens não estão vulneráveis aos tipos de bancos de senhas ou tentativas de força bruta que as senhas tradicionais podem estar”, explica.
Forçar os usuários a utilizar tokens no lugar de senhas é visto como uma vantagem pelo engenheiro de segurança da plataforma, já que os usuários não vão escolher senhas fracas como “intel123” (acredite… a Intel já usou essa senha).
Fonte: GitHub.