Impedir acesso não autorizado

Você pode ser alertado sobre um incidente de segurança na imprensa, como a descoberta do bug Heartbleed, ou seu computador pode ser roubado enquanto você estiver conectado a GitHub. Em casos assim, alterar a sua senha previne acessos futuros indesejados em sua conta e projetos.

GitHub requer uma senha para executar ações confidenciais, como adicionar novas chaves SSH, autorizar aplicativos ou modificar membros da equipe.

Depois de alterar sua senha, você deve executar estas ações para confirmar que sua conta está segura:

  • Habilite a autenticação de dois fatores na sua conta para que o acesso exija mais do que apenas uma senha. Para saber mais, confira Sobre a autenticação de dois fatores.

  • Adicione uma chave de acesso à sua conta para habilitar um logon seguro e sem senha. As chaves de acesso são resistentes a phishing e não exigem memorização ou gerenciamento ativo. Confira Sobre chaves de acesso.

  • Examine suas chaves SSH, implante chaves e aplicativos OAuth autorizados e aplicativos GitHub Apps e revogue o acesso não autorizado ou desconhecido nas configurações de SSH e Aplicativos. Para obter mais informações, consulte Revisar suas chaves SSH, Revisar suas chaves de implantação, Revisar aplicações OAuth autorizadas e Revisão e revogação da autorização de aplicativos GitHub.

  • Se você acredita que sua conta pode estar comprometida, você pode revogar todas as suas autorizações ou excluir todas as suas credenciais de uma só vez. Consulte Revogando suas credenciais.

  • Verifique todos os seus endereços de email. Se um invasor adicionou o endereço de e-mail dele à sua conta, isso pode permitir que ele force uma reinicialização de senha indesejada. Para saber mais, confira Verificar endereço de e-mail.

  • Revise o log de segurança da sua conta. Este documento apresenta uma visão geral de configurações diversas feitas em seus repositórios. Por exemplo, você pode confirmar que nenhum repositório privado se tornou público ou foi transferido. Para saber mais, confira Revisar seus logs de segurança.

  • Verifique os webhooks nos seus repositórios. Os webhooks podem permitir que um invasor intercepte pushes feitos em seu repositório. Para saber mais, confira Sobre webhooks.

  • Garanta que nenhuma nova chave de implantação seja criada. Isso poderia habilitar o acesso de servidores externos em seus projetos. Para saber mais, confira Gerenciar chaves de implantação.

  • Revise os commits recentes feitos em seus repositórios.

  • Revise a lista de colaboradores de cada repositório.