有人向我的 Github 帐户添加了 SSH 密钥

Question

我刚刚收到一封电子邮件，内容是“新的公钥已添加到您的帐户”。我检查了我的 GitHub 帐户并看到了两个密钥——一个是我几周前从我的 Ubuntu 机器上添加的，另一个是今天从 Windows 机器上添加的。这是一台我曾经使用 GitHub 客户端 for Windows 工作的机器，但是，我已经好几个星期没有进入它了。

我的问题是：

• 是否有可能其他人进入了该 Windows 计算机并将新的公共 SSH 密钥添加到我的 GitHub 帐户？
• 这是否意味着进入该 Windows 计算机的任何人都可以代表我在 GitHub 中执行操作？
• 除了删除新的公钥之外，我还能如何防止人们向我的 GitHub 帐户添加新密钥？

Answer 1

• 是的。 GitHub 客户端保持登录状态，直到您手动注销/卸载/撤销访问权限。当您登录时，客户端应用会自动将 SSH 密钥添加到您的帐户。
• 是的。
• 删除密钥并撤消 GitHub 客户端对您帐户的访问权限。您可以在网站上的帐户设置>应用程序>授权应用程序下找到它。 Windows 计算机上的客户端应用程序将要求用户再次登录才能重新获得对您帐户的访问权限。

Answer 2

有一个attack on GitHub recently，他们已经采取了一些措施，所以新密钥可以是攻击者的密钥，也可以由 github 设置（我不能说）。您能做的最好的事情就是删除您的密钥和密码并立即用新的替换它们。