Как сделать аутентификацию исключительно через SSH ключ?

Question

[Anonymous]

Я хочу выключить авторизацию через токен и сделать чтобы можно было только через SSH ключи. Есть ли такая возможность у гитхаба?

Цель: Повысить безопасность.

Answer 1

[Василий Банников]

Нет.
А в чём собственно безопасность? Токен можно выпустить только если залогиниться в твой аккаунт на сайте.
Если злоумышленник в него залогинился - он легко может добавить свой SSH ключ или вообще коммитить через UI.

Comments

[Anonymous]

А в чём собственно безопасность? Токен можно выпустить только если залогиниться в твой аккаунт на сайте.

Если точнее, то я хочу запретить HTTPS, SSH-only. Но жаль. Просто утечки токена могут быть. Они, ИМХО, ненадежны.

[Василий Банников]

Никита Савченко, так ключ тоже можешь утечь.

А токены просто не выпускай и не будут утекать

[Сергей Кузнецов]

Никита Савченко, надеюсь вы защищаете свои ключи парольной фразой?

[Anonymous]

Сергей Кузнецов, конечно

[Сергей Кузнецов]

Никита Савченко, это хорошо. А если обсуждать безопасность, то ssh скорее менее безопасен, чем токены. Токен позволяет выдать права на одно конкретное действие, а ключ этого не умеет.

[Anonymous]

Сергей Кузнецов, но есть одно но:
Токены нельзя запаролить :)
То есть тут сложно сказать, что лучше. Но лично мне SSH лучше.

[Сергей Кузнецов]

Никита Савченко, OAuth для меня удобнее. Всё защищено в один клик, и не надо страдать созданием и распространением ключей

[Anonymous]

Сергей Кузнецов, если токен использовать и сохранять себе на компуктере, легко могут украсть. Ключи еще не так легко украсть да и на линуксе они удобнее.

[Сергей Кузнецов]

Никита Савченко, OAuth лучше токенов

[Василий Банников]

Сергей Кузнецов, oauth - просто способ этот токен выпустить, да и git вроде как с oauth не работает (вроде за это отвечает credentials manager).
Так что токен выпущенный вручную через PAT ничем по сути не отличается от токена, выпущеного через oauth - и там и там можно указать срок действия и ресурсы, к которым можно обращаться. И там и там токен можно отозвать.

[Сергей Кузнецов]

Василий Банников, OAuth очень даже поддерживается и всё работает. А Credential Manager лишь помогает сохранить эту авторизацию в безопасном хранилище, чтобы никто не украл.

[Василий Банников]

Сергей Кузнецов, ок