github 访问令牌背后​​的原因是什么？

Question

它们比 SSH 密钥对更安全还是更不安全？

我使用这些密钥对而不是github上引用的 SSH 密钥对。在我看来，它们只是随机的复杂密码。

我现在通过输入我的用户名/令牌而不是我的用户名/密码来进行身份验证。我不明白这如何能提供比密码更好的安全性。

我并不反对使用它们，但它们看起来就像是自动生成的密码。它们的安全性似乎也低于 SSH。

Answer 1

使用 GitHub 访问令牌而不是密码有几个原因：

• 令牌是伪随机生成的，因此执行暴力猜测攻击是不可行的。
• 令牌具有固定的形式，可以让秘密扫描软件识别它们，然后可以警告用户或撤销它们。
• 令牌的范围比密码更窄，因此在发生泄露时可以轻松过期或撤销，而不必担心整个帐户受到损害。

但是，它们仍然是不记名凭证：您必须像密码一样将它们传递到远程系统。

SSH 密钥更安全，因为它们使用非对称加密技术。创建 SSH 会话时，会派生出一次性共享密钥，并且您的密钥仅用于签署从该密钥派生的数据。您永远不会通过连接发送密钥，因此，只要您保证私钥安全，即使能够危及另一方的攻击也无法危及您的密钥。

正如 VonC 所指出的，令牌是通过 HTTPS 使用的，而 SSH 密钥是通过 SSH 使用的，因此它们不可互换。