Marcel Mueller:
> Github hat jetzt ernst gemacht, und erlaubt keine
> Passwort-Authentifizierung mehr außerhalb der Web-UI. Ich versetehe den
> Sicherheitsgewinn dabei nicht. Ich finde das erheblich unsicherer als
> vorher.
Ich nicht. Git verwendet man in der Regel ja nicht so, dass man jedesmal
sein Passwort eingibt, sondern trägt es *einmal* ein und speichert es.
> - Das Token kann man praktisch nur per Copy & Paste benutzen.
Aber man hat eben nur noch ein Token, was nur exakt für eine konkrete
Anwendung verwendet wird und nicht mehr ein Passwort, was den kompletten
Account bei Github öffnet.
> - Es ist daher prinzipsbedingt nicht mehr nur in der sich
> Authentifizierenden Anwendung verfügbar, sondern für alle Anwendungen
> auf dem Rechner.
Wenn Du deinem Rechner nicht traust, darfst Du da *nie* ein Passwort
eingeben. Anwendungen kommen da nämlich ebenso hin während der Eingabe.
> - Falls man eine Zwischenablage mit Historie hat (heutzutage üblich),
> wird es zudem lange Zeit verfügbar und ggf. auch ungefragt in einer
> Datei im Benutzerprofil gespeichert.
Passwortmanager existieren, da kann man auch ein Token speichern.
> - Wenn man es mehr als einmal verwenden möchte, MUSS man es sogar in
> einer Datei speichern. Das ist jetzt ungefähr so sicher, wie das
> Passwort, was an der Tastatur klebt.
Passwortmanager existieren, da kann man auch ein Token speichern.
> - Wenn man es nur einmal verwendet, dauert halt jeder Push 5 Minuten.
>
> Ich frage mich, was soll das ganze? Warum sollte das sicherer sein, als
> ein Passwort?
Dann nimm halt einen SSH-Key, der für das jeweilige Repository gilt.
> Ich meine, Passwörter haben auch ihre Grenzen und in ein paar Jahren
> wird man vermutlich jedes Passwort, dass sich ein normal sterblicher
> Nicht-Autist noch irgendwie merken kann, per Brute Force knacken können.
> Aber im Klartext abgespeicherte Passwörter sind doch bei weitem schlimmer.
> Einzig die Option diesen Tokens abweichende Rechte zu geben, ist ein
> echter Vorteil. Für automatisierte Vorgänge über APIs braucht man so
> etwas natürlich. Aber als Benutzeranmeldung taugt es m.E. kaum.
Commit, Push und Pull via git *sind* "automatisierte Vorgänge über APIs".
--
Arno Welzel
https://arnowelzel.de