GitHub 需要密码才能执行敏感操作,例如添加新的 SSH 密钥、授权应用程序或修改团队成员。
更改密码后,您应执行以下操作,以确保账户安全
-
在您的账户上启用双因素认证,使访问不仅仅需要密码。有关更多信息,请参阅 关于双因素认证。
-
向您的账户添加密码密钥,以实现安全的无密码登录。密码密钥具备防钓鱼特性,且无需记忆或主动管理。请参阅 关于密码密钥。
-
在 SSH 和应用设置中检查您的 SSH 密钥、部署密钥以及已授权的 OAuth 应用和 GitHub 应用,并撤销未授权或不熟悉的访问。有关更多信息,请参阅 审查您的 SSH 密钥、审查您的部署密钥、审查您已授权的 OAuth 应用,以及 审查并撤销 GitHub 应用的授权。
-
验证您所有的电子邮件地址。如果攻击者将他们的电子邮件地址添加到您的账户,可能会强制进行意外的密码重置。有关更多信息,请参阅 验证您的电子邮件地址。
-
检查账户的安全日志。这可以概览对仓库所做的各种配置。例如,您可以确保没有私人仓库被设为公开,或没有仓库被转移。有关更多信息,请参阅 审查您的安全日志。
-
检查您仓库中的 Webhook。Webhook 可能使攻击者拦截对仓库的推送。有关更多信息,请参阅 关于 Webhook。
-
确保未创建新的部署密钥。这可能会让外部服务器访问您的项目。有关更多信息,请参阅 管理部署密钥。
-
审查您仓库中最近的提交。
-
审查每个仓库的协作者列表。