GitHub a amélioré la sécurité des comptes au fil des ans en ajoutant l'authentification à deux facteurs, les alertes de connexion, la vérification des dispositifs, le blocage de l'utilisation de mots de passe compromis et la prise en charge de WebAuthn. Cette fois-ci, et à partir du 13 août 2021, à 09:00 PST, github a annoncé qu'il n'acceptera plus les mots de passe des comptes lors de l'authentification. Au lieu de cela, l'authentification par jeton sera requise pour toutes les opérations authentifiées de Git.

Ce changement a été annoncé pour la première fois l'année dernière, en juillet, lorsque GitHub a déclaré que les opérations Git authentifiées nécessiteraient l'utilisation d'une clé SSH ou une authentification basée sur un jeton. GitHub a également retiré précédemment l'authentification par mot de passe pour l'authentification via l'API REST, le 13 novembre 2020. Par la suite, Le 15 décembre de l'année dernière, Github a communiqué les exigences qu'ils imposeront pour l'authentification par jeton, ainsi que les dates de leur application.

Afin de garantir la non-utilisation de l'authentification par mot de passe, il est possible d'activer l'authentification à deux facteurs, qui nécessite des jetons d'accès OAuth ou personnels pour toutes les opérations authentifiées via Git et les intégrations tierces.

Si vous avez activé l'authentification à deux facteurs pour votre compte GitHub, vous ne serez en aucun cas affecté par ce changement d'authentification puisque vous utilisez déjà une authentification basée sur jeton ou SSH.

Ce renforcement d'authentification par jeton pour identifier les opérations Git augmente la robustesse des comptes GitHub contre les tentatives de prise de contrôle en empêchant les attaquants d'utiliser des informations d'identification volées ou des mots de passe réutilisés pour détourner les comptes.