타운광장토픽게시판

https://relz.tistory.com/36

여기 나온것처럼 더 이상 계정 비밀번호로 인증해서 작업하는것은 안된다고 합니다.

 

대신 토큰을 발급받아서 작업해야 한다고 하네요.

 

https://github.com/settings/tokens

 

들어가면 Personal access tokens 메뉴가 있습니다.

여기서 필요한 권한을 체크한 후 토큰을 발급받아서 그걸 비밀번호 대신 작성하니까 비로소 됩니다.

 

개인적으론 매우 뻘짓같습니다.

 

 

글쓴이 양희은

?
너 이름이 뭐니?
  • profile
    뻘짓 아닙니다.

    잘한것 같습니다.

    깃허브 비밀번호를 항상 서버내에서 입력하는 것보단 오히려 토큰을 통해서 인증하거나 서버라면 ssh인증키를 이용하는 편이 훨신 더 보안이 안전합니다.
  • profile

    뻘짓 아닙니다 (2)


    토큰은 무조건 모든 권한이 부여되는 아이디/비밀번호 방식과 달리 허용할 권한을 지정할수 있으므로 탈취되더라도 피해가 훨씬 적습니다.

     

    예를 들어 아이디/비밀번호가 유출된다면 저장소 설정 변경부터 저장소를 임의로 삭제하는 등 광범위한 피해가 발생될수 있지만 커밋으로만 목적을 제한한 토큰이 유출된다면 커밋 이외 다른 설정을 건드릴수는 없게 되는 식입니다.

  • profile
    커밋 하려고 토큰 발급받는 것은 솔직히 뻘짓 맞는 것 같고요... (대부분의 개인사용자는 토큰 하나 발급받아서 비번처럼 여기저기 다 쓸 가능성이 높으므로 윗분들이 말씀하신 보안상의 이점을 누리지 못합니다)

    커밋은 그냥 예전부터 지원하던 ssh 키를 사용하는 편이 훨씬 낫습니다.
  • profile profile
    커밋또는 어떠한 권한을 지정하여 해당 토큰만 해당 서버에 연동하거나 ssh키를 이용하는것이 전체 아이디 비밀번호를 서버에 치는것보다 좀 더 안전하지 않나요?

    계정은 한번 알면 저장소 삭제나 해킹의 대한 보안이 취약하지만.. 아무리 여기저기 토큰을 가져다 쓰더라도 권한을 제한한채로 쓴다면... 그나마 안전할 것 같다는 생각이 들어서요.

    뭐 어차피 해킹당할 서버라면 권한을 막 열어둔 개인 사용자의 책임이고.. 그래도 비밀번호를 알지 못하니 해당 저장소나 서버의 데이터는 사라진다 하더라도 다른 저장소에 연동된 데이터들은 또 안전할 수 있어서 그 부분에 대해서는 오히려 지난방식보단 낫다는 생각이 들더라고요.
  • profile profile

    용도별로 토큰 권한을 구분해서 쓴다면 좋겠지요. 그러나 그렇게 하는 사람은 거의 없고, 그냥 비번을 쓰지 말라고 하니까 억지로 토큰을 발급받아서 비번 대용으로 쓰는 것이 문제입니다.

    이론상 토큰 > 암호 걸린 ssh 키 > 암호 없는 ssh 키 > 비번 순으로 강력한 보안을 얻을 수 있지만
    현실은 토큰 = 비번이 되는 것 같다는...

    그래서 저는 그냥 ssh 키를 추천합니다. 꼭 깃허브가 아니라도 어디서든 쓸 수 있는 표준이기도 하고요.

  • profile profile

    넵 저도 ssh키를 이용하는편이 한번세팅하면 이후로는  오히려 더 편하고 어차피 토큰처럼 문제가 있을때 끊어버릴 수 있으니 제일 안전하다고 생각이 들어요 :)

  • profile
    이론: 패스워드 노출에 대비해 사이트별로 다르게 하고, ssh키 다르게 사용하고, 토큰 다르게 사용하고...

    현실: 각 사이트 패스워드만 A4용지 10장 빼곡... 본인도 기억못함... ssh키 하나 만들어 여기저기 다 씀. 토큰도 물론... 자주가는 사이트 암호 키체인에 저장해놓고 자동 로그인.