Hugging Face Hub이 2023년 10월 1일부터 Git 비밀번호 인증 폐지하고 개인 액세스 토큰 또는 SSH 키 기반 인증으로 강제 전환

Context

Hugging Face Hub 사용자들이 Git 작업 시 계정 비밀번호로 인증하고 있어 보안 취약점이 존재했다. 비밀번호 기반 인증은 임의의 특성이 없고 회수 불가능하며 제한된 권한 제어 기능을 제공하므로 보안 강화가 필요했다.

Technical Solution

• 개인 액세스 토큰(Personal Access Token) 기반 인증 도입: https://<user_name>:<token>@huggingface.co/<repo_path> 형식으로 Git remote URL 설정
• SSH 키 기반 인증 지원: git@hf.co:<repo_path> 형식으로 Git remote URL 변경하여 SSH 프로토콜 사용
• 마이그레이션 도구 및 가이드 제공: git remote set-url origin 명령어로 기존 리포지토리 업데이트 방법 제시
• 토큰 발급 자동화: 토큰 기반 인증은 임의(random), 회수 가능(revocable), 고유(unique) 특성을 제공하여 세분화된 권한 제어 가능
• 2023년 10월 1일 강제 전환: 해당 시점 이후 비밀번호 기반 Git 작업 완전 차단

Key Takeaway

인증 메커니즘 보안 강화 시 단순 폐지(Deprecation) 공지 단계 → 마이그레이션 기간 제공 → 강제 전환이라는 3단계 타임라인을 설정하면, 기존 사용자 중단 최소화와 보안 기준 준수를 동시에 달성할 수 있다.