I responsabili di GitHub, nota piattaforma per il code hosting da qualche tempo di proprietà di Microsoft, hanno deciso di dismettere il sistema che consente di autenticarsi tramite username e password per accedere alle operazioni da effettuare tramite Git. Stando alle ultime dichiarazioni disponibili, non sarà più possibile utilizzare questo tipo di credenziali a partire dal 13 agosto del prossimo anno.
E' comunque bene segnalare che questa nuova policy di sicurezza non dovrebbe riguardare, almeno inizialmente, la possibilità di loggarsi al proprio account su GitHub via browser Internet e attraverso user e password. Da questo punto di vista è infatti sempre più probabile che si continuerà a puntare sull'autenticazione a 2 fattori, mentre la novità coinvolgerà tutte le istruzioni e le API (Application Programming Interface) che consentono di interagire con i repository Git ospitati su GitHub.
Autenticazione basata sui token
Se tutto dovesse andare come previsto dai promotori del progetto, entro la scadenza precedentemente citata dovrebbe essere introdotto un meccanismo di autenticazione basato sui token per tutte le operazioni basate sulle API previste da GitHub, la stessa iniziativa riguarderà anche qualsiasi piattaforma o servizio che abbia accesso ai repository Git su GitHub tramite password così come le applicazioni Desktop che utilizzano Git.
Gli utenti di GitHub che vorranno testare la nuova metodologia di login potranno cominciare a farlo circa 2 settimane prima, quando quest'ultimo impedirà per alcune ore al giorno l'accesso via username e password autorizzando soltanto le procedure basate sui token personali di accesso. Chiaramente chi ha scelto di utilizzare delle chiavi SSH potrà continuare ad adottare questo metodo in alternativa ai token.
I vantaggi dei token
Come sottolineato dagli stessi portavoce di GitHub, la scelta dei token presenta diversi vantaggi rispetto ai sistemi tradizionalmente basati su username e password. I token sono ad esempio revocabili per un singolo servizio senza che ciò crei problemi per l'accesso ad altre piattaforme, inoltre i token sono univoci e questo significa che non vi sarà il rischio di utilizzare le medesime credenziali per account differenti.
GitHub integra tra l'altro un meccanismo appositamente pensato per la scansione dei token che dovrebbe impedire agli sviluppatori di includere involontariamente i propri token nei commit.