Grundlegendes zu Hauptschlüsseln
Mit einem Hauptschlüssel kannst du dich sicher bei GitHub.com anmelden, ohne dein Kennwort eingeben zu müssen. Wenn du die Zwei-Faktor-Authentifizierung (2FA) verwendest, werden mit einem Hauptschlüssel sowohl die Kennwort- als auch die 2FA-Anforderungen erfüllt, sodass du deine Anmeldung in nur einem Schritt abschließen kannst. Du kannst Hauptschlüssel außerdem für den sudo-Modus und zum Zurücksetzen deines Kennworts verwenden.
Hauptschlüssel sind Paare kryptografischer Schlüssel (öffentlicher Schlüssel und privater Schlüssel), die von einem von Ihnen gesteuerten Authentifikator gespeichert werden. Der Authentifikator kann nachweisen, dass ein Benutzer anwesend ist und berechtigt ist, den Hauptschlüssel zu verwenden. Authentifikatoren beweisen die Autorisierung mit einer PIN, einem Passcode, Biometrie oder einem Gerätekennwort, abhängig von den Funktionen und der Konfiguration des Authentifikators. Authentifikatoren gibt es in vielen Varianten, z. B. als iPhone oder Android-Gerät, als Windows Hello, als FIDO2-Hardware-Sicherheitsschlüssel oder als Passwort-Manager.
Wenn Sie sich bei GitHub.com mit einem Hauptschlüssel anmelden, verwendet Ihr Authentifikator Public-Key-Kryptographie, um Ihre Identität gegenüber GitHub zu beweisen, ohne den Hauptschlüssel zu senden. Hauptschlüssel sind an eine Website-Domain gebunden, wie GitHub.com, und erfordern eine sichere Verbindung, was bedeutet, dass der Webbrowser die Authentifizierung bei einer lookalike Phishing-Website verweigert. Diese Eigenschaften machen Hauptschlüssel äußerst resistent gegen Phishing und viel schwerer angreifbar als SMS oder TOTP 2FA, die gefälscht werden können.
Mit cloudgestützten Hauptschlüsseldiensten können Hauptschlüssel geräteübergreifend synchronisiert werden (z. B. Apple-Geräte, Android-Geräte oder Passwort-Manager), sodass sie von mehr Orten aus verwendet werden können und weniger leicht verloren gehen. Nachdem Sie einen synchronisierten Hauptschlüssel auf einem Gerät eingerichtet haben, ist dieser Hauptschlüssel für die Verwendung auf mehreren Geräten mit demselben Dienst verfügbar. Wenn Sie beispielsweise mit der Touch ID Ihres MacBook einen Hauptschlüssel für Ihren iCloud Account registrieren, können Sie diesen Hauptschlüssel mit Ihrem Gesicht, Fingerabdruck, PIN oder Gerätepasswort auf mehreren Geräten verwenden, die mit demselben iCloud Account verbunden sind.
Weitere Informationen zum Hinzufügen eines Hauptschlüssels zu deinem Konto findest du unter Verwalten deiner Hauptschlüssel.
Falls Sie als 2FA-Benutzer bereits hauptschlüsselfähige Sicherheitsschlüssel in Ihrem Konto für 2FA registriert haben, können Sie diese vorhandenen Anmeldeinformationen in Ihren Kontoeinstellungen in Hauptschlüssel umwandeln. Wenn du dich mit einem qualifizierten Sicherheitsschlüssel anmeldest, wirst du zudem gefragt, ob du diesen in einen Hauptschlüssel aktualisieren möchtest. Weitere Informationen findest du unter Verwalten deiner Hauptschlüssel.
Über Authentifikatoren
Einige Authenticators ermöglichen die Verwendung von Hauptschlüsseln mit Geräten in der Nähe. Beispielsweise möchten Sie sich bei GitHub.com mit einem Bluetooth-fähigen Laptop anmelden, der nicht mit einem Hauptschlüssel eingerichtet ist. Wenn Sie einen Hauptschlüssel auf Ihrem Telefon registriert haben, können Sie einen QR-Code scannen oder eine Push Request auf Ihrem Telefon auslösen, um die Anmeldung sicher abzuschließen. Weitere Informationen findest du unter Anmelden mit einem Hauptschlüssel.
Andere Authentifikatoren erstellen gerätegebundene Hauptschlüssel d. h., sie können nur für einen einzelnen Authentifikator verwendet werden. Diese Hauptschlüssel können nicht gesichert oder an einen anderen Authentifikator verschoben werden. Einige Anbieter von Hauptschlüssel können gerätegebundene Hauptschlüssel als Option bei der Erstellung von Hauptschlüsseln anbieten, während andere Anbieter keine Wahl zwischen gerätegebundenen und synchronisierten Hauptschlüsseln zulassen.
Authentifikatoren können auch tragbare Geräte sein. Auf FIDO2-Hardware-Sicherheitsschlüsseln gespeicherte Hauptschlüssel sind ebenfalls „gerätegebunden“, haben aber den Vorteil, dass sie tragbar sind und auf verschiedene Weise mit anderen Geräten verbunden werden können (USB, NFC oder Bluetooth). Bei einigen Plattform- und Webbrowser-Kombinationen sind FIDO2-Sicherheitsschlüssel möglicherweise die einzige Möglichkeit, Hauptschlüssel zu verwenden.
Weitere Informationen dazu, ob dein Gerät und dein Betriebssystem Hauptschlüssel unterstützen, findest du unter Geräteunterstützung in der Passkeys.dev-Dokumentation sowie unter Webauthentifizierungs-API in der CanIUse-Dokumentation.
Feedback
Du kannst dein Feedback zu Hauptschlüsseln in GitHub teilen. Informationen zur Teilnahme an der Konversation finden Sie unter „[Feedback] Passkeys for passwordless authentication“ ([Feedback] Hauptschlüssel für kennwortlose Authentifizierung).