GitHub が強制しようとしている PAT (personal access…

jrf> GitHub が強制しようとしている PAT (personal access token)。セキュリティ的には微妙じゃないか？

パッと見、パスワードみたいに見た目で分からず、暗号化済みに見えるから、集まったデータを何かの拍子で手に入れてしまった者が、あまりためらうことなく人に渡してしまいがちになるのではないか？ 集まったデータだけでなく、死んだ人の手元に残ったファイルに「PAT」と記載されていても、それがパスワードと同程度に管理が必要なものと気づかず、流出させるとか起きるのではないか？ ソーシャル・ハッキングに弱そうに思う。

あと、一年で無効になるというのも微妙。死んだ人のデータを調べてて、無効だからその人のデータではないとか、しっかり管理する意思がなくあまり意味のないデータとか判断されるのが増えないだろうか？

むしろ、ユーザーから与えられたデータには著作権みたいなもの・ユーザーに権利のある防衛すべき秘密…とかが生じうるので、GitHub がその管理を嫌っているという側面があるのではないか…とか勘ぐってしまう。

パスワードは弱い人は弱いが強い人は強い。ハックされるのは順番に起きて探知しやすいのに対し、PAT だと一気に崩れるとかいうのもありそう。(逆にパスワードが一気に崩れたら、それはそれで原因を特定しやすいだろう。)