Skip to main content
Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Mejores prácticas para asegurar las cuentas

Orientación sobre cómo proteger las cuentas con acceso a tu cadena de suministro de software.

Acerca de esta guía

Esta guía describe los cambios de más alto impacto que puedes hacer para incrementar la seguridad de la cuenta. Cada sección describe un cambio que puedes hacer a tus procesos para mejorar la seguridad. Los cambios de más alto impacto se listan primero.

¿Cuál es el riesgo?

La seguridad de las cuentas es fundamental para la seguridad de tu cadena de suministro. Si un atacante puede apoderarse de tu ceunta en GitHub Enterprise Server, este puede hacer cambios malintencionados a tu código o a tu proceso de compilación. Así que tu primera meta debería ser que fuera difícil que alguien se apoderara de tu cuenta y de las cuentas de otros usuarios de tu instancia de GitHub Enterprise Server.

Centralizar la autenticación

Si eres el administrador de sitio para tu instancia de GitHub Enterprise Server, puedes simplificar la experiencia de inicio de sesión para los usuarios si eliges un método de autenticación que se conecte con tu proveedor de identidad (IdP), como CAS; SAML o LDAP. Esto significa que ya no necesitarán recordar una contraseña adicional para GitHub.

Algunos métodos de autenticación también son compatibles con la comunicación de información adicional a GitHub Enterprise Server, por ejemplo, de qué grupos es miembro el usuario, o con la sincronización de llaves criptográficas para dicho usuario. Esto es una forma genial de simplificar tu administración conforme crece tu organización.

Para obtener más información sobre los métodos de autenticación disponibles para GitHub Enterprise Server, consulta la sección "Acerca de la autenticación para tu empresa".

Configurar la autenticación bifactorial

La mejor forma de mejorar la seguridad de tu cuenta personal o tu instancia de GitHub Enterprise Server es configurar la autenticación bifactorial (2FA). Las contraseñas por sí mismas pueden ponerse en riesgo si se pueden adivinar fácilmente, si se reutilizan en otro sitio que se haya puesto en riesgo o mediante ingeniería social, como con el phishing. La 2FA hace que sea mucho más difícil que tus cuentas se pongan en riesgo, incluso si un atacante tiene tu contraseña.

Si eres el administrador de sitio para tu instancia de GitHub Enterprise Server, es posible que puedas configurar la 2FA para todos los usuarios de tu instancia. La disponibilidad de la 2FA en GitHub Enterprise Server depende del método de autenticación que utilices. Para obtener más información, consulta la sección "Centralizar la autenticación de usuarios".

Si eres un propietario de organización, entonces podrìas requerir que todos los miembros de la organización habiliten la 2FA.

Configura tu cuenta empresarial

Los propietarios de las empresas podrían requerir la 2FA para todos los usuarios de la instancia. La disponibilidad de las políticas de 2FA en GitHub Enterprise Server depende de cómo los usuarios se autentican para acceder a tu instancia.

  • Si inicias sesión en tu instancia de GitHub Enterprise Server mediante un IdP externo utilizando CAS o el SSO de SAML, no puedes configurar la 2FA en GitHub Enterprise Server. Alguien con acceso administrativo a tu IdP debe configurar la 2FA para el IdP.
  • Si inicias sesión en tu instancia de GitHub Enterprise Server mediante un directorio LDAP externo, puedes requerir la 2FA para tu empresa de GitHub Enterprise Server. Si permites la autenticación integrada para los usuarios fuera de tu directorio, los usuarios individuales pueden habilitar la 2FA, pero no puedes requerirla para tu empresa.

Para obtener más información, consulta las secciones "Requerir políticas para los ajustes de seguridad en tu empresa".

Configurar tu cuenta personal

Nota: Dependiendo del método de autenticación que haya configurado un administrador de sitio para tu instancia de GitHub Enterprise Server, podrías no poder habilitar la 2FA para tu cuenta personal.

GitHub Enterprise Server es compatible con varias opciones para la 2FA y, si bien cualquiera de ellas es mejor que nada, la opción más segura es la WebAuthn. La WebAuthn requiere ya sea de una llave de seguridad de hardware o de un dispositivo que sea compatible con ella mediante instrumentos como Windows Hello o Mac TouchID. Es posible, aunque difícil, hacer phishing en otras formas de 2FA (por ejemplo, que alguien te pida que le leas tu contraseña de una sola ocasión de 6 dígitos). Sin embargo, no se puede hacer phishing con la WebAuthn, ya que el alcance del dominio está integrado en el protocolo, lo que previene que las credenciales de un sitio web se hagan pasar por una página de inicio de sesión para que se utilice en GitHub Enterprise Server.

Cuando configuras la 2FA, siempre deberás descargar los códigos de recuperación y configurar más de un factor. Esto garantiza que el acceso a tu cuenta no dependa de un solo dispositivo. Para obtener más información, consulta las secciones "Configurar la autenticación bifactorial", "Configurar los métodos de recuperación de la autenticación bifactorial" y Llaves de seguridad de hardware con marca de GitHub en la tienda de GitHub.

Configurar tu cuenta de organización

Nota: Dependiendo del método de autenticación que haya configurado un administrador de sitio para tu instancia de GitHub Enterprise Server, podrías no poder requerir la 2FA para tu organización.

Si eres un propietario de organización, puedes ver a los usuarios que no tienen habilitada la 2FA, ayudarles a configurarla y luego requerirla para tu organización. Para guiarte en este proceso, consulta las siguientes secciones:

  1. "Ver si un usuario en tu organización tiene habilitada la 2FA"
  2. "Prepararse para requerir la autenticación bifactorial en tu organización"
  3. "Requerir la autenticación bifactorial en tu organización"

Conectarte a GitHub Enterprise Server utilizando llaves SSH

Hay otras formas de interactuar con GitHub Enterprise Server màs allà de iniciar sesiòn en el sitio web. Muchas personas autorizan el còdigo que suben a GitHub con una llave SSH privada. Para obtener más información, consulta la sección "Acerca de SSH".

Tal como la contraseña de tu cuenta, si un atacante pudiera obtener tu llave SSH privada, podrían hacerse pasar por ti y subir código malintencionado a cualquier repositorio al cuál tengas acceso de escritura. Si almacenas tu llave privada SSH en un volumen de disco, es buena idea protegerlo con una frase de ingreso. Para obtener más información, consulta la sección "Trabajar con frases de acceso para llaves SSH".

Otra opción es generar llaves SSH en una llave de seguridad de hardware. Podrías utilizar la misma llave que utilizas para la 2FA. Las llaves de seguridad de hardware son difíciles de poner en riesgo remotamente, ya que la llave SSH privada permanece en el hardware y no se puede acceder directamente a ella desde el software. Para obtener más información, consulta la sección "Generar una llave SSH nueva para una llave de seguridad de hardware".

Las llaves SSH respaldadas por hardware son bastante seguras, pero el requisito de hardware podría no funcionar para algunas organizaciones. Un enfoque alterno es utilizar llaves SSH que solo sean válidas durante un periodo de tiempo corto, para que incluso si esta se pone en riesgo, no pueda aprovecharse por mucho tiempo. Este es el concepto detrás de ejecutar tu propia autoridad de certificados SSH. Si bien este acercamiento te proporciona mucho control de cómo se autentican los usuarios, también trae consigo la responsabilidad de mantener una autoridad de certificados SSH por ti mismo. Para obtener más información, consulta la sección Acerca de las autoridades de certificados SSH".

Pasos siguientes