Skip to main content

防止未授权的访问

在登录 GitHub.com 时,你可能会收到媒体中安全事件的警报,如发现 Heartbleed bug 或计算机被盗。 在这种情况下,更改密码可防止后面对您的帐户和项目的任何非预期访问。

GitHub 需要密码来执行敏感的操作,如新增 SSH 密钥、授权应用程序或修改团队成员。

在更改密码后,应执行以下操作,以确保您的帐户安全:

  • 在帐户上启用双因素身份验证,以便访问时不止需要提供密码。 有关详细信息,请参阅“关于双重身份验证”。

  • 向帐户添加密钥,以启用安全的无密码登录。 密钥可以防御钓鱼威胁,不需要记忆或主动管理。 请参阅“关于密钥”。

  • 查看 SSH 密钥、部署密钥和授权集成,并在 SSH 和应用程序设置中撤销未经授权的或不熟悉的访问权限。 有关详细信息,请参阅“审查 SSH 密钥”、“审查您的部署密钥”和“查看和撤销 GitHub 应用的授权”。

  • 验证所有电子邮件地址。 如果攻击者在您的帐户中添加了他们的电子邮件地址,他们可能实施非预期的密码重置。 有关详细信息,请参阅“验证电子邮件地址”。

  • 查看帐户的安全日志。 其中概述了您的仓库的各种配置。 例如,您可以确保没有私有仓库改为公共,或没有仓库被转让。 有关详细信息,请参阅“审查您的安全日志”。

  • 查看存储库上的 Webhook。 Web 挂钩可能允许攻击者拦截到仓库的推送。 有关详细信息,请参阅“关于 web 挂钩”。

  • 确保未创建新的部署密钥。 这可能允许外部服务器访问您的项目。 有关详细信息,请参阅“管理部署密钥”。

  • 检查最近对仓库的提交。

  • 检查每个仓库的协作者列表。