Wspomniany komunikat jest bardzo ważnym sygnałem, ostrzegającym przed możliwością nawiązania połączenia z maszyną, która została skompromitowana. Podczas pierwszego połączenia z każdym serwerem SSH w naszym katalogu domowym zapamiętywany jest odcisk palca (ang. fingerprint), czyli skrót jego klucza publicznego (plik ~/.ssh/known_hosts). Dzięki temu stacja kliencka dysponuje listą zaufanych serwerów, na podstawie której sprawdza ich autentyczność podczas kolejnych połączeń. Jeśli klucz serwera ulegnie zmianie, np. na skutek działania intruza, to program kliencki stwierdzi jego niezgodność z zapisanym uprzednio "haszem" i powiadomi nas o tym wspomnianym komunikatem.

Nie zawsze jednak musi to oznaczać, że serwer został zaatakowany. Klucze mogą także ulec zmianie na przykład w wyniku przeinstalowania systemu na zdalnym hoście. By zestawić połączenia w wypadku pojawienia się ostrzeżenia, musimy zmodyfikować plik ~/.ssh/known_hosts i skasować wpis rozpoczynający się od nazwy wywoływanego hosta lub całkowicie usunąć plik "znanych hostów". Zanim to jednak zrobimy, warto dla pewności skontaktować się z administratorem w celu wyjaśnienia problemu.