GitHub認為整合實體金鑰的SSH用法可提升帳號安全,避免帳號被接管,他們也建議使用者移除先前註冊的SSH金鑰,只使用整合實體金鑰的SSH金鑰。圖片來源: GitHub、Yubico

GitHub周一(5/10)宣布,當用戶透過SSH協定使用Git時,未來將可利用實體安全金鑰來強化帳號的保護。

為了保護用戶的帳號安全,GitHub已宣布自今年的8月13日起,就不再接受於該站執行Git操作時,以帳號及密碼來進行身分驗證,而必須以權杖(Token)進行驗證;有鑑於GitHub用戶偶爾會不小心外洩自己的SSH金鑰,GitHub決定整合實體金鑰的功能,再替用戶帳號添增多一層的保護。

北卡羅來納州立大學的研究人員曾於兩年前,掃描GitHub上的公共儲存庫,發現約有13%儲存庫曝露了API權杖與加密金鑰,數量超過10萬個。

GitHub說明,當以實體金鑰搭配SSH使用時,實體金鑰會把SSH金鑰的機密部份轉移到實體金鑰上,而且這些SSH金鑰可與實體金鑰綁定,不必再擔心私鑰曝光或被惡意程式入侵等意外。

此外,整合實體金鑰的SSH用法與過去並無不同,使用者可利用實體金鑰來產生SSH金鑰,並把它們加到帳號中,也可建立配對的公鑰與私鑰,公鑰一樣存放於使用者的機器上,最大的差異在於私鑰將會被引導至實體金鑰。因此,就算使用者放在電腦上的私鑰檔案被偷了,沒有實體金鑰也無法使用,若在搭配實體金鑰的狀態下使用SSH,沒有任何的機密資訊會離開實體金鑰。

GitHub認為,實體金鑰將可帶來更高階的帳號安全保護,還可避免帳號被接管,亦建議使用者移除先前註冊的SSH金鑰,只使用整合實體金鑰的SSH金鑰,此外,就算作為一般的帳號驗證工具,實體金鑰也是一個取回帳號的優良選項。

熱門新聞


Advertisement