Какая удобная альтернатива паролю?

Токен.

А приватным ключом можно удалить ваш аккаунт на гитхабе? А изменить почту и пароль? А приватный ключ может обнаружиться на других сайтах?

и как я воткну токен в удаленную виртуалку?

Зачем его туда втыкать?

Personal access tokens function like ordinary OAuth access tokens. They can be used instead of a password for Git over HTTPS, or can be used to authenticate to the API over Basic Authentication.

Вы его вместо пароля просто вводите.

https://docs.github.com/en/github/authenticating-to-github/keeping-your-account-and-data-secure/creating-a-personal-access-token#using-a-token-on-the-command-line

TLDR: например, так

$ git clone https://github.com/username/repo.git
Username: your_username
Password: your_token

Ну и ладно

ПФФФФ

Зачем? Люди же давно придумали нормальную аутентификацию по логину-паролю. Если кому-то не хватает, пусть делают по ssh или токену, остальных-то зачем насиловать?

Только люди не научились нормальные пароли выдумывать. Вот и страдания. А так да.

Было полезно раз в год, если один-два коммита надо закинуть с тестовой виндовой виртуалки, когда вообще не хотелось добавлять ключ.

Или сформулируйте предложение, или укажите, на какую часть комментария вы отвечаете.

Внезапно в этих организациях работают как раз Васи, а не рептилоиды.

лет 100 как пора было это сделать

В АНБ? Нет, если там будут васи, то это провал, ведь никто не должен знать, что одно ведомство знает примерно всё о своих гражданах. Васи допускают утечку информации.

А этот токен может быть человекочитаемым? А то его придется записывать на бумажку или хранить где-то в текстовом виде, что нифига не секьюрно

то это провал

а ты начал догадываться

А этот токен может быть человекочитаемым

А у вас пароль человекочитаемый?

А то его придется записывать на бумажку или хранить где-то в текстовом виде, что нифига не секьюрно

Используйте менеджеры паролей.

действия с git, требующие аутентификации, теперь только по ключу или токену, никаких паролей.

Тоже мне проблема. Я вот до этой новости даже не знал что там можно пароль использовать :)

А у вас пароль человекочитаемый?

Да

https://xkcd.ru/i/936_v3.png

Ок. Они предлагают при https аутентификации использовать API токен вместо пароля. И как это повышает безопасность?

Вот вы и нашли ошибку.

Вы правда не понимаете, что действия, которые можно совершить, имея этот токен, можно ограничить?

Они и есть ограниченные, если сравнивать с паролем.

Используйте менеджеры паролей.

Отличный способ потерять все пароли разом)

Каким образом? Никогда не слышали про экспорт?

Здесь нет ошибки, он всё правильно делает

Пароль должен быть длинным и генерироваться автоматически.

но зачем? Если например мне надо дать доступ к гиту для какого-то контейнера, то я пробрасываю туда ssh-agent, и всё

И записан на бумажке, наклееной на монитор, да?

То есть таким, что его принципиально невозможно запомнить? нет уж, спасибо

Зачем? Уже говорил, менеджер паролей.

а пароль от менеджера паролей каким должен быть?

Да, кстати, иногда нужно воспользоаться своим паролем на чьем то чужом компе

Не всегда удобно, особенно если пароль периодически приходится вводить с разных устройств.

Мастер-пароль? Сложным, но это единственный пароль, который вам надо запомнить.

Синхронизация.

куча геммора на ровном месте

Особенно если тебе нужно ввести пароль на машине, к которой ты подключен через RDP или что-то такое

но это единственный пароль, который вам надо запомнить

а ещё пароль от системного аккаунта, шифрованного диска…

добавь сюда что машина может быть не одна, баз в менеджере паролей тоже может быть больше одной. и некоторые пароли ты не захочешь хранить в менеджере

Руками введите, прекратите выдумывать проблемы.

отдельный вид кайфа, вводить руками без возможности использовать буфер обмена длинный рандомно сгенерированный пароль с заглавными и строчными буквами, цифрами и спецсимволами

Есть разница между паролем для вашего компьютера и паролем для сайта.

На самом деле нет

Там-же есть аутентификация по токену через их API. Не знаю как это интегрируется в консольный GIT (просто всегда юзал SSH ключи) но в современных UI для гита - есть поддержка аутентификации на гитхабе через токены, прямо из коробки. Так что с виртуалками проблемы вполне решаемы.

На самом деле да. Вряд ли к вашему компьютеру есть открытый доступ.

на работе - есть

А аутентификация по токену не требует раскрытия токена?

или это заговор против работающего метода шифрования, чтобы пересадить всех на сомнительные алгоритмы

Я время от времени использовал в termux со смартфона, если rebase для ранее созданных коммитов в pull request нужно сделать.

Доступ не открытый, надо ещё в помещение с компьютером попасть.

Ценность токена ничтожна, если сравнивать с паролем.

нельзя коммитить с чужого компьютера

ты ещё в интернет-банк с чужого компа залезь

У всех сотрудников есть доступ в это помещение. Далеко не все сотрудники доверенные люди.

Скажем так, если что-то случиться, вы точно найдёте кого винить.