关于通行密钥
通行密钥允许您安全地登录 GitHub,无需输入密码。如果您使用双重身份验证 (2FA),通行密钥将满足密码和 2FA 要求,因此您可以通过一个步骤完成登录。您还可以将通行密钥用于 sudo 模式和重置密码。
通行密钥是存储在您控制的身份验证器中的成对加密密钥(公钥和私钥)。身份验证器可以证明用户的存在并被授权使用通行密钥。身份验证器使用 PIN、密码、生物识别或设备密码来证明授权,具体取决于身份验证器的功能和配置。身份验证器有多种形式,例如 iPhone 或 Android 设备、Windows Hello、FIDO2 硬件安全密钥或密码管理器。
当您使用通行密钥登录 GitHub.com 时,您的身份验证器使用公钥加密来向 GitHub 证明您的身份,而无需发送通行密钥。通行密钥绑定到网站域(如 GitHub.com),并需要安全连接,这意味着 Web 浏览器将拒绝向仿冒的网络钓鱼网站进行身份验证。这些属性使通行密钥具有很高的防网络钓鱼能力,并且比 SMS 或 TOTP 2FA 更难攻击,因为 SMS 或 TOTP 2FA 可以被网络钓鱼攻击。
云端支持的密钥服务允许密钥在设备之间同步(例如 Apple 设备、Android 设备或密码管理器),以便它们可以在更多地方使用,并且不易丢失。在您在一台设备上设置了同步密钥后,该密钥就可以在使用相同服务的多个设备上使用。例如,如果您使用 MacBook 的 Touch ID 在 iCloud 帐户中注册密钥,那么您就可以在与同一 iCloud 帐户关联的多个设备上使用该密钥,并使用面部识别、指纹、PIN 或设备密码进行互换。
有关将密钥添加到您的帐户的更多信息,请参阅“管理您的密钥”。
对于 2FA 用户,如果您已经将符合密钥条件的安全密钥注册到您的帐户以用于 2FA,您可以在帐户设置中将这些现有凭据升级为密钥。当您使用符合条件的安全密钥登录时,您还会被问到是否要将其升级为密钥。有关更多信息,请参阅“管理您的密钥”。
关于身份验证器
一些身份验证器允许密钥与附近的设备一起使用。例如,您可能想使用未设置密钥的蓝牙笔记本电脑登录 GitHub.com。如果您在手机上注册了密钥,您可能选择扫描二维码或触发手机上的推送通知,以安全地完成登录。有关更多信息,请参阅“使用密钥登录”。
其他身份验证器创建与设备绑定的密钥,这意味着它们只能在单个身份验证器上使用。这些密钥无法备份或移动到其他身份验证器。一些密钥提供商可能会在创建密钥期间提供与设备绑定的密钥作为选项,而其他提供商可能不会提供在与设备绑定的密钥和同步密钥之间进行选择。
身份验证器也可以是便携式设备。存储在 FIDO2 硬件安全密钥上的密钥也是“与设备绑定的”,但它们具有便携性的优势,并且可以通过多种方式(USB、NFC 或蓝牙)连接到其他设备。在某些平台和 Web 浏览器组合中,FIDO2 安全密钥可能是使用密钥的唯一方法。
有关您的设备和操作系统是否支持密钥的信息,请参阅 Passkeys.dev 文档中的 设备支持,以及 CanIUse 文档中的 Web 身份验证 API。
反馈
您可以与 GitHub 分享您对密钥的反馈。要加入讨论,请参阅 "[反馈] 无密码身份验证的密钥。"。