Entwicklungsplattform GitHub sagt zum Passwort leise Servus

GitHub hat angekündigt, künftig komplett auf Token-basierte Authentifizierung zu setzen. Die Anmeldung über Name und Passwort ist ab November für die REST API nicht mehr möglich. Vermutlich ab Sommer 2021 benötigen Entwicklerinnen und Entwickler Tokens für alle GitHub-Aktionen, die eine Authentifizierung erfordern.

Grund für die Maßnahmen ist der erhöhte Schutz vor Missbrauch. Unter anderem kam es im April zu einer groß angelegten Phishing-Kampagne auf GitHub-Nutzer. Das Unternehmen bietet ebenso wie GitLab und Atlassian seit geraumer Zeit Personal Access Tokens (PATs) als sicherere Alternative an. Tokens haben unter anderem den Vorteil, dass sie sich jederzeit zurückziehen und auf spezifische Nutzung zuschneiden lassen.

Fahrplan mit Stopps im November und Mitte 2021

Akut besteht zwar noch kein Handlungsbedarf, da der Zugriff über Name und Passwort noch bis Ende des Jahres möglich ist, aber eine frühzeitige Umstellung empfiehlt sich schon aufgrund des verminderten Risikos des unerlaubten Zugriffs auf Repository-Inhalte.

Am 30. September und 28. Oktober fordert GitHub temporär für jeweils zweimal drei Stunden entweder Personal Access oder OAuth Tokens für alle API-Operationen an, um Kundinnen und Kunden auf die Umstellung hinzuweisen und mehr oder weniger sanft zum Umstieg zu bewegen. Ab dem 13. November ist der Zugriff auf die REST API nur mehr über Tokens möglich. Zugriffsversuche über Name und Passwort quittiert die Schnittstelle mit dem HTTPS-Statuscode 401 Unauthorized.

Für die Umstellung des Zugriffs über Tokens für alle anderen authentifizierten Git-Operationen gibt GitHub noch kein konkretes Datum vor, sondern der Blogbeitrag zur Ankündigung spricht von Mitte 2021. Neben PATs sind OAuth Tokens oder SSH Keys für die Git-Operationen erlaubt.

(rme)