GitHubは12月15日(米国時間)、公式ブログのエントリ「Token authentication requirements for Git operations - The GitHub Blog」において、2021年8月13日以降、Git操作におけるパスワード認証を廃止し、トークンベースの認証を必須にする方針を発表した。
これにより、コマンドラインでのGit操作、Gitを使用するデスクトップアプリケーション、GitHub.comのGitリポジトリに直接アクセスするアプリやサービスでは、パスワードを用いてリポジトリへアクセスすることができなくなる。
GitHubでは、従来よりパスワード認証に代わってトークンベースの認証を使用することを推奨してきた。2020年11月にはすでにREST API利用時のパスワード認証を廃止しており、今回の発表はその適用範囲を大きく広げた形だ。
既にトークンベースの認証を導入している場合や、SSHベースの認証を行っている場合はこの変更の影響は受けない。また、2要素認証を使用したGitHubアカウントへのログインにも影響しないとのこと。
GitHubでは、8月13日における本格的なパスワード認証廃止に先立って、次の4回のテスト期間を設ける予定だという。この期間は、一時的にパスワード認証が停止され、パスワードを使ったGit操作ができなくなる。
- 2021年6月30日 UTC 7時から10時(日本時間 同16時から19時)
- 2021年6月30日 UTC 16時から19時(日本時間 7月1日1時から4時)
- 2021年7月28日 UTC 7時から10時(日本時間 同16時から19時)
- 2021年7月28日 UTC 16時から19時(日本時間 7月19日1時から4時)
現在、Gitの操作にパスワード認証を利用している開発者は、2021年8月13日までに、HTTPSまたはSSHキーを使用したパーソナルアクセストークンによる認証を導入しておく必要がある。インテグレーターの場合、WebまたはOAuthデバイス認証フローを使用してアプリに認証を付与しておかなければならない。トークンベースの認証は、パスワード認証に比べて多くのセキュリティ上の利点がある。来年8月まではまだ時間があるものの、できるだけ早い時期での移行が推奨される。