Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais atualizadas, acesse a documentação em inglês.

Melhores práticas para proteger contas

Orientação sobre como proteger as contas com acesso à cadeia de suprimentos de software.

Sobre este guia

Este guia descreve as mudanças de maior impacto que você pode fazer para aumentar a segurança da conta. Cada seção descreve uma alteração que você pode fazer em seus processos para melhorar a segurança. As mudanças de maior impacto estão listadas primeiro.

Qual o risco?

A segurança da conta é fundamental para a segurança da sua cadeia de suprimento. Se um invasor conseguir tomar a sua conta em GitHub, ele poderá fazer alterações maliciosas no seu código ou no processo de compilação. Dessa forma, seu primeiro objetivo deve ser dificultar que alguém tome a sua conta e as contas de outros usuários de integrantes da sua organização.

Configurar autenticação de dois fatores

A melhor maneira de melhorar a segurança da sua conta pessoal é configurar a autenticação de dois fatores (2FA). As senhas por si só podem ser comprometidas por serem adivinhadas, por serem reutilizadas em outro local que foi comprometido, ou por engenharia social, como phishing. A 2FA dificulta muito mais o comprometimento das suas contas, mesmo que um invasor tenha sua senha.

Se você for um proprietário da organização, pode exigir que todos os integrantes da organização habilitem a 2FA.

Configure a sua conta pessoal

GitHub é compatível com várias opções para 2FA e embora qualquer um seja melhor do que nada, a opção mais segura é WebAuthn. A WebAuthn requer uma chave de segurança de hardware ou um dispositivo que o suporte por meio de coisas como Windows Hello ou Mac TouchID. É possível, apesar de ser difícil, fazer phish de outras formas de 2FA (por exemplo, quando alguém pede para ler a sua senha de um único dígito). No entanto, o WebAuthn não é passível de phishing, porque o escopo de domínio está incorporado no protocolo, o que impede que credenciais de um site representando uma página de login sejam usadas em GitHub.

Ao definir a autenticação de 2FA, você deve sempre fazer o download dos códigos de recuperação e definir mais de um fator. Isso garante que o acesso à sua conta não depende de um único dispositivo. Para saber mais, confira "Configurar a autenticação de dois fatores", "Configurar métodos de recuperação da autenticação de dois fatores" e chaves de segurança de hardware da marca GitHub na loja do GitHub.

Configurar a conta da sua organização

Se você for proprietário de uma organização, você poderá ver quais usuários não estão habilitados com 2FA, poderá ajudá-los a configurá-la e, em seguida, exigir a autenticação 2FA para sua organização. Para guiar você nesse processo, consulte:

  1. "Ver se os usuários da organização habilitaram a 2FA"
  2. "Preparar para exigir autenticação de dois fatores na organização"
  3. "Exigindo a autenticação de dois fatores na sua organização"

Conectar a GitHub usando chaves SSH

Existem outras maneiras de interagir com GitHub além de entrar no site . Muitas pessoas autorizam o código que enviam por push para GitHub com uma chave privada SSH. Para obter mais informações, confira "Sobre o SSH".

Assim como a senha da sua conta, se um invasor conseguir obter sua chave SSH privada, ele poderá representar você e enviar um código malicioso por push a qualquer repositório ao qual você tenha acesso de gravação. Se você armazenar sua chave SSH privada em um disco, é uma boa ideia protegê-la com uma senha. Para obter mais informações, confira "Trabalhar com frase secreta da chave SSH".

Outra opção é gerar chaves SSH em uma chave de segurança de hardware. Você pode usar a mesma chave que você está usando no 2FA. É muito difícil comprometer as chaves de segurança de hardware remotamente, porque a chave SSH privada permanece no hardware e não pode ser acessada diretamente por meio do software. Para obter mais informações, confira "Gerando uma nova chave SSH e adicionando-a ao agente SSH".

Próximas etapas