Git OpenSSH 是否存储输入的用户名?
Does Git OpenSSH store entered usernames?
当通过 OpenSSH 将更改推送到 Git 中的 GitHub 时,我不小心在用户名提示中输入了我的密码(我很困惑,因为用户名提示也用星号掩盖了字符)。
因此,当 实际 密码提示出现时,我大吃一惊:
因为我输入了我的用户名密码,我是否应该担心我的密码以明文形式存储在任何地方,包括在我计算机上的 Git 日志和 Git集线器的服务器?
我在 Windows 10 上使用 Git 2.23.0。
在这种情况下,您实际上并没有使用 SSH;您正在使用 SSH askpass 工具来提示输入 HTTPS 凭据,因此您无需担心 OpenSSH 的作用。 askpass 工具本身当然会在不记录的情况下安全地处理凭据输入。然而,你的用户名被发送到远程服务器,所以如果你提交了密码字段,你的密码现在几乎肯定在 GitHub 的日志中(除非它是一个 GitHub 令牌,因为 GitHub 在某些情况下允许用户名字段中的用户并安全处理)。
如果您实际上没有提交出现的 actual 密码字段提示,则用户名字段中的密码不会发送到任何地方,因为HTTP 协议将它们作为一个单元发送。 由于凭据提示会失败,因此没有建立连接,您真的不需要担心。
由于这是针对 HTTP 的,如果您使用的是凭证管理器,例如 Git 凭证管理器或 wincred,并且密码已发送,那么您可能需要检查 Windows 凭据存储以查看它是否已保存在用户名字段中。不过,这将被加密,但如果凭据助手填写数据,则可以再次发送数据。
如果密码已发送,您必须假设使用该密码的任何内容现在都已泄露,并在使用该密码的任何地方进行更改。如果您使用的是令牌,请将其替换为新令牌。如果您在多个地方使用相同的密码,请借此机会开始使用密码管理器,这样如果您再次这样做(我们都有),这种事情就不会那么麻烦了。
当通过 OpenSSH 将更改推送到 Git 中的 GitHub 时,我不小心在用户名提示中输入了我的密码(我很困惑,因为用户名提示也用星号掩盖了字符)。
因此,当 实际 密码提示出现时,我大吃一惊:
因为我输入了我的用户名密码,我是否应该担心我的密码以明文形式存储在任何地方,包括在我计算机上的 Git 日志和 Git集线器的服务器?
我在 Windows 10 上使用 Git 2.23.0。
在这种情况下,您实际上并没有使用 SSH;您正在使用 SSH askpass 工具来提示输入 HTTPS 凭据,因此您无需担心 OpenSSH 的作用。 askpass 工具本身当然会在不记录的情况下安全地处理凭据输入。然而,你的用户名被发送到远程服务器,所以如果你提交了密码字段,你的密码现在几乎肯定在 GitHub 的日志中(除非它是一个 GitHub 令牌,因为 GitHub 在某些情况下允许用户名字段中的用户并安全处理)。
如果您实际上没有提交出现的 actual 密码字段提示,则用户名字段中的密码不会发送到任何地方,因为HTTP 协议将它们作为一个单元发送。 由于凭据提示会失败,因此没有建立连接,您真的不需要担心。
由于这是针对 HTTP 的,如果您使用的是凭证管理器,例如 Git 凭证管理器或 wincred,并且密码已发送,那么您可能需要检查 Windows 凭据存储以查看它是否已保存在用户名字段中。不过,这将被加密,但如果凭据助手填写数据,则可以再次发送数据。
如果密码已发送,您必须假设使用该密码的任何内容现在都已泄露,并在使用该密码的任何地方进行更改。如果您使用的是令牌,请将其替换为新令牌。如果您在多个地方使用相同的密码,请借此机会开始使用密码管理器,这样如果您再次这样做(我们都有),这种事情就不会那么麻烦了。