Note
Vous ne pourrez peut-être pas utiliser les clés secrètes si un administrateur de site les a désactivées pour votre instance.
À propos des clés d’accès
Les clés d’accès vous permettent de vous connecter en toute sécurité à GitHub dans votre navigateur sans avoir à entrer votre mot de passe.
Si vous utilisez l’authentification à 2 facteurs (2FA), les clés d’accès répondent aux exigences de mot de passe et de 2FA. Vous pouvez donc procéder à votre connexion en une seule étape. Si vous n’utilisez pas 2FA, l’utilisation d’une clé d’accès ignore l’exigence de vérifier un nouvel appareil par e-mail. Vous pouvez également utiliser des clés d’accès pour le mode sudo et réinitialiser votre mot de passe.
Les clés d'accès sont des paires de clés de chiffrement (une clé publique et une clé privée) qui sont stockées par un authenticator que vous contrôlez. L’authenticator peut prouver qu'un utilisateur est présent et qu'il est autorisé à utiliser la clé d'accès. Les authenticators prouvent l'autorisation à l'aide d'un code PIN, d'un code secret, d'un code biométrique ou d'un mot de passe de l'appareil, en fonction des capacités et de la configuration de l'authentificateur. Les authenticators se présentent sous différentes formes, telles qu'un appareil iPhone ou Android, Windows Hello, une clé de sécurité matérielle FIDO2 ou un gestionnaire de mot de passe.
Lorsque vous vous connectez à GitHub à l’aide d’une clé d’accès, votre authentificateur utilise le chiffrement à clé publique pour prouver votre identité à GitHub sans jamais envoyer la clé d’accès. Les clés d'accès sont liées au domaine d'un site web, comme GitHub.com
, et nécessitent une connexion sécurisée, ce qui signifie que le navigateur web refusera de s'authentifier auprès d'un site web d'hameçonnage ressemblant. Ces propriétés rendent les clés d'accès très résistantes à l'hameçonnage et beaucoup plus difficiles à attaquer que le SMS ou le TOTP 2FA, qui peuvent être hameçonnés.
Les services des clés d'accès en cloud permettent de synchroniser les clés d'accès entre les différents appareils (tels que les appareils Apple, les appareils Android ou les gestionnaires de mots de passe) afin qu'elles puissent être utilisées à partir d'un plus grand nombre d'endroits et qu'elles soient moins facilement perdues. Une fois que vous avez configuré une clé d'accès synchronisée sur un appareil, cette clé d'accès peut être utilisée sur plusieurs appareils utilisant le même service. Par exemple, si vous enregistrez une clé d'accès avec votre compte iCloud à l'aide du Touch ID de votre MacBook, vous pouvez utiliser cette clé d’accès avec votre visage, votre empreinte digitale, votre code PIN ou votre mot de passe de l'appareil de manière interchangeable sur plusieurs appareils liés au même compte iCloud.
Pour plus d'informations sur l'ajout d'une clé d’accès à votre compte, consultez « Gestion de vos clés d'accès ».
Pour les utilisateurs 2FA, si vous avez déjà des clés de sécurité éligibles à la clé d’accès enregistrées sur votre compte pour l’authentification 2, vous pouvez mettre à niveau ces identifiants existants vers des clés d’accès dans les paramètres de votre compte. Lorsque vous utilisez une clé de sécurité éligible pour vous connecter, vous êtes également invité à la mettre à niveau vers une clé d’accès. Pour plus d’informations, consultez « Gestion de vos clés d'accès ».
À propos des authenticators
Certains authenticators permettent d'utiliser des clés d'accès avec des appareils proches. Par exemple, vous souhaitez peut-être vous connecter à GitHub à l’aide d’un ordinateur portable équipé d’une connexion Bluetooth qui n’est pas configuré avec une clé d’accès. Si vous avez enregistré une clé d'accès sur votre téléphone, vous pouvez choisir de scanner un code QR ou de déclencher une notification Push sur votre téléphone, afin de procéder à la connexion en toute sécurité. Pour plus d’informations, consultez « Connexion à l’aide d’une clé d’accès ».
D'autres authenticators créent des clés d'accès liées à l'appareil, ce qui signifie qu'elles ne peuvent être utilisées que sur un seul authenticator. Ces clés d'accès ne peuvent pas être sauvegardées ou déplacées vers un autre authenticator. Certains fournisseurs de clés d'accès peuvent proposer des clés d'accès liées à l'appareil en option lors de la création de la clé d'accès, tandis que d'autres fournisseurs peuvent ne pas offrir le choix entre des clés d'accès liées à l'appareil et des clés d'accès synchronisées.
Les authenticators peuvent également être des appareils mobiles. Les clés d'accès stockées sur les clés de sécurité matérielles FIDO2 sont également « liés à un appareil », mais ils ont l'avantage d'être portables et peuvent être attachées à d'autres appareils de différentes manières (USB, NFC ou Bluetooth). Sur certaines combinaisons de plateformes et de navigateurs web, les clés de sécurité FIDO2 peuvent être le seul moyen d'utiliser les clés d'accès.
Pour savoir si votre appareil et votre système d’exploitation prennent en charge les clés d’accès, consultez Prise en charge des appareils dans la documentation Passkeys.dev et API d’authentification web dans la documentation CanIUse.
Commentaires
Vous pouvez partager vos commentaires sur les clés d’accès avec GitHub. Pour rejoindre la conversation, consultez « [Commentaires] Clés secrètes pour l’authentification sans mot de passe ».