GitHub现在正式要求对其命令行界面、第三方应用程序和访问托管在平台上的Git存储库的服务进行基于令牌的身份验证。GitHub通过要求对其命令行界面、第三方桌面应用程序和其他直接访问托管在其平台上的存储库的外部服务进行基于令牌的身份验证，在放弃密码方面又迈出了一步。

该公司宣布计划在2020年12月留下密码;它终于在8月13日进行了切换。GitHub表示，受影响的服务现在必须使用个人访问令牌、SSH密钥、OAuth令牌或GitHub应用程序安装令牌进行身份验证。(其第一方应用程序不受此更改的影响。)

GitHub并不是唯一一家希望更换密码的公司。自2013年以来，谷歌一直试图放弃基于密码的身份验证，微软也在推动Windows10中的其他安全机制。许多其他人至少鼓励他们的用户采用多因素身份验证，而不仅仅是使用密码。

为什么?GitHub在2020年7月解释说，它更喜欢代币，因为它们是：

唯一–令牌特定于GitHub，可以按使用或按设备生成。

可撤销–可以随时单独撤销令牌，而无需更新未受影响的凭据。

有限——令牌的范围可以很窄，只允许用例所需的访问。

随机-令牌不受字典类型或暴力尝试的影响，而您需要记住或定期输入的更简单的密码可能会受到这些类型的影响。

GitHub还在8月16日宣布，它与Yubico合作，允许使用YubiKey等物理安全密钥对提交(存储库在特定时间点的快照)进行签名，并创建分步指南到那个过程：

两家公司合作开发了更多GitHub品牌的YubiKey安全密钥，这些密钥将通过GitHub商店提供，直到供应用完。YubiKey5NFC和YubiKey5CNFC在撰写本文时仍有货。