GitHub 需要密码才能执行敏感操作,例如添加新的 SSH 密钥、授权应用程序或修改团队成员。
更改密码后,你应执行以下操作以确保你的帐户安全
-
在你的帐户上启用双重身份验证,以便访问需要不仅仅是密码。有关详细信息,请参阅“关于双重身份验证”。
-
向你的帐户添加通行密钥以启用安全、无密码的登录。通行密钥具有防网络钓鱼功能,并且不需要记忆或主动管理。有关详细信息,请参阅“关于通行密钥”和“管理你的通行密钥”。
-
查看 SSH 密钥、部署密钥和授权集成,并在 SSH 和应用程序设置中撤销未授权或不熟悉的访问权限。有关详细信息,请参阅“查看 SSH 密钥”、“查看部署密钥”和“查看和撤销 GitHub 应用授权”。
-
验证所有电子邮件地址。如果攻击者将自己的电子邮件地址添加到你的帐户,则可能允许他们强制进行意外密码重置。有关详细信息,请参阅“验证电子邮件地址”。
-
查看帐户的安全日志。这将提供对存储库进行的各种配置的概述。例如,你可以确保没有私有存储库变为公开,或者没有存储库被转移。有关详细信息,请参阅“查看安全日志”。
-
查看存储库上的 Webhook。Webhook 可能会允许攻击者拦截推送到存储库的内容。有关详细信息,请参阅“关于 Webhook”。
-
确保没有创建新的部署密钥。这可能会使外部服务器访问你的项目。有关详细信息,请参阅“管理部署密钥”。
-
查看最近提交到存储库的提交记录。
-
查看每个存储库的协作者列表。