Evitar acceso no autorizado

Es posible que se le informe de un incidente de seguridad a través de los medios de comunicación, como el descubrimiento del fallo Heartbleed, o que le roben el equipo mientras ha iniciado sesión en GitHub. En dichos casos, cambiar tu contraseña previene cualquier acceso futuro no deseado a tu cuenta y a tus proyectos.

GitHub requiere una contraseña para realizar acciones confidenciales, como agregar nuevas claves SSH, autorizar aplicaciones o modificar miembros del equipo.

Después de cambiar tu contraseña, deberías realizar estas acciones para asegurarte que tu cuenta sea segura:

  • Habilite la autenticación en dos fases en la cuenta para que el acceso necesite más que una contraseña. Para más información, consulta Acerca de la autenticación de dos factores.

  • Agrega una clave de paso a tu cuenta para habilitar un inicio de sesión seguro y sin contraseña. Las claves de paso son resistentes a la suplantación de identidad (phishing) y no requieren memorización ni administración activa. Consulta Acerca de las claves de paso.

  • Revise las claves SSH, implemente las claves y las aplicaciones de OAuth autorizadas y GitHub Apps y revoque el acceso no autorizado o desconocido en la configuración de SSH y Aplicaciones. Para obtener más información, consulte Revisar tus claves SSH, Revisar tus llaves de implementación, Revisión de las aplicaciones autorizadas de OAuth y Revisión y revocación de autorización de aplicaciones de GitHub.

  • Si cree que su cuenta puede estar en peligro, puede revocar todas sus autorizaciones o eliminar todas sus credenciales a la vez. Consulte Revocar las credenciales.

  • Compruebe todas las direcciones de correo electrónico. Si un atacante agregó sus direcciones de correo electrónico a tu cuenta, esto puede permitirle forzar un restablecimiento de contraseña no deseado. Para más información, consulta Verificar tu dirección de correo electrónico.

  • Revise el registro de seguridad de la cuenta. Esto brinda un resumen de varias configuraciones realizadas a tus repositorios. Por ejemplo, puedes asegurarte que no se convirtieron repositorios privados en públicos, o que no se transfirieron repositorios. Para más información, consulta Revisar tu registro de seguridad.

  • Revise los webhooks en tus repositorios. Los webhooks podrían permitir que un atacante intercepte envíos que se hagan a tu repositorio. Para más información, consulta Acerca de webhooks.

  • Asegúrese de que no se han creado claves de despliegue. Esto podría permitir que servidores externos accedan a tus proyectos. Para más información, consulta Administrar las llaves de despliegue.

  • Revisar las confirmaciones de cambios recientes realizadas a tus repositorios.

  • Revisar la lista de colaboradores de cada repositorio.