GitHub 需要密码来执行敏感的操作,如新增 SSH 密钥、授权应用程序或修改团队成员。
在更改密码后,应执行以下操作,以确保您的帐户安全:
-
在帐户上启用双因素身份验证,以便访问时不止需要提供密码。 有关详细信息,请参阅“关于双重身份验证”。
-
向帐户添加密钥,以启用安全的无密码登录。 密钥可以防御钓鱼威胁,不需要记忆或主动管理。 请参阅“关于密钥”。
-
查看 SSH 密钥、部署密钥和授权集成,并在 SSH 和应用程序设置中撤销未经授权的或不熟悉的访问权限。 有关详细信息,请参阅“审查 SSH 密钥”、“审查您的部署密钥”和“查看和撤销 GitHub 应用的授权”。
-
验证所有电子邮件地址。 如果攻击者在您的帐户中添加了他们的电子邮件地址,他们可能实施非预期的密码重置。 有关详细信息,请参阅“验证电子邮件地址”。
-
查看帐户的安全日志。 其中概述了您的仓库的各种配置。 例如,您可以确保没有私有仓库改为公共,或没有仓库被转让。 有关详细信息,请参阅“审查您的安全日志”。
-
查看存储库上的 Webhook。 Web 挂钩可能允许攻击者拦截到仓库的推送。 有关详细信息,请参阅“关于 web 挂钩”。
-
确保未创建新的部署密钥。 这可能允许外部服务器访问您的项目。 有关详细信息,请参阅“管理部署密钥”。
-
检查最近对仓库的提交。
-
检查每个仓库的协作者列表。