Skip to main content

Enterprise Server 3.15 в настоящее время доступен в качестве кандидата на выпуск.

Сведения о секретных ключах

Секретные ключи позволяют безопасно и легко выполнять вход, не требуя пароля и двухфакторной проверки подлинности.

Note

Возможно, вы не сможете использовать секретные ключи, если администратор сайта отключил их для вашего экземпляра.

Сведения о секретных ключах

Секретные ключи позволяют безопасно входить в GitHub в браузере без ввода пароля.

Если вы используете двухфакторную проверку подлинности (2FA), секретные ключи соответствуют требованиям пароля и 2FA, чтобы выполнить вход с помощью одного шага. Если вы не используете 2FA, использование секретного ключа пропустит требование проверить новое устройство по электронной почте. Вы также можете использовать секретные ключи для режима sudo и сброса пароля.

Секретные ключи — это пары криптографических ключей (открытый ключ и закрытый ключ), хранящиеся элементом проверки подлинности, который вы управляете. Средство проверки подлинности может доказать, что пользователь присутствует и имеет право использовать секретный ключ. Аутентификаторы подтверждают авторизацию с помощью ПИН-кода, секретного кода, биометрического или пароля устройства в зависимости от возможностей и конфигурации аутентификатора. Аутентификаторы приходят во многих формах, таких как устройство iPhone или Android, Windows Hello, аппаратный ключ безопасности FIDO2 или диспетчер паролей.

При входе в GitHub с помощью секретного ключа средство проверки подлинности использует криптографию открытого ключа для подтверждения удостоверения GitHub без отправки секретного ключа. Секретные ключи привязаны к домену веб-сайта, например GitHub.comи требуют безопасного подключения, то есть веб-браузер откажется пройти проверку подлинности на веб-сайте фишинга. Эти свойства делают секретные ключи очень устойчивыми к фишингу, и гораздо труднее атаковать, чем SMS или TOTP 2FA, которые могут быть фишинговыми.

Облачные службы секретных ключей позволяют синхронизировать ключи между устройствами (например, устройствами Apple, устройствами Android или диспетчерами паролей), чтобы их можно было использовать из большего места и менее легко потерять. После настройки синхронизированного секретного ключа на одном устройстве этот секретный ключ доступен для использования на нескольких устройствах с помощью одной службы. Например, если вы зарегистрируете ключ доступа в учетной записи iCloud с помощью идентификатора Touch ID MacBook, вы можете использовать этот секретный ключ с вашим лицом, отпечатком пальцев, ПИН-кодом или паролем устройства, взаимозаменяемыми на нескольких устройствах, привязанных к одной и той же учетной записи iCloud.

Дополнительные сведения о добавлении ключа доступа в учетную запись см. в разделе "Управление ключами доступа".

Для пользователей 2FA, если у вас уже есть ключи безопасности, соответствующие ключи безопасности, зарегистрированные в учетной записи 2FA, можно обновить эти существующие учетные данные на ключи доступа в параметрах учетной записи. При использовании подходящего ключа безопасности для входа вам также будет предложено обновить его до секретного ключа. Дополнительные сведения см. в разделе Управление ключами доступа.

Сведения об аутентификаторах

Некоторые средства проверки подлинности позволяют использовать ключи доступа с близлежащими устройствами. Например, возможно, вы хотите войти в GitHub с помощью ноутбука с поддержкой Bluetooth, который не настроен с помощью ключа доступа. Если вы зарегистрировали секретный ключ на телефоне, вы можете выбрать сканирование QR-кода или активировать push-уведомление на телефон, чтобы безопасно завершить вход. Дополнительные сведения см. в разделе Вход с помощью секретного ключа.

Другие средства проверки подлинности создают ключи доступа, привязанные к устройству, то есть они могут использоваться только для одного средства проверки подлинности. Эти ключи нельзя создать резервную копию или переместить в другой средство проверки подлинности. Некоторые поставщики секретных ключей могут предлагать ключи доступа, привязанные к устройству, в качестве варианта во время создания секретного ключа, а другие поставщики могут не предлагать выбор между ключами доступа, привязанными к устройству и синхронизированными.

Аутентификаторы также могут быть переносимыми устройствами. Секретные ключи, хранящиеся на аппаратных ключах безопасности FIDO2, также являются "привязанными к устройству", но они имеют преимущество переносимого и могут быть подключены к другим устройствам различными способами (USB, NFC или Bluetooth). В некоторых сочетаниях платформ и веб-браузеров ключи безопасности FIDO2 могут быть единственным способом использования ключей доступа.

Сведения о том, поддерживает ли устройство и операционная система ключи доступа, см. в документации по Passkeys.dev документации по устройству и API веб-проверки подлинности в документации CanIUse.

Feedback

Вы можете поделиться своими отзывами о секретных ключах с помощью GitHub. Сведения о присоединении к беседе см. в разделе "[Отзывы] Секретные ключи для проверки подлинности без пароля".

Дополнительные материалы