V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
cus
V2EX  ›  GitHub

你们的 github 账号启用 2FA 了吗?

  •  
  •   cus · 2023-03-22 11:16:30 +08:00 via iPhone · 3792 次点击
    这是一个创建于 607 天前的主题,其中的信息可能已经有所发展或是发生改变。
    你们用什么管理 TOTP(one-time password) 呢?

    Note: Starting in March 2023 and through the end of 2023, GitHub will gradually begin to require all users who contribute code on GitHub.com to enable one or more forms of two-factor authentication (2FA). If you are in an eligible group, you will receive a notification email when that group is selected for enrollment, marking the beginning of a 45-day 2FA enrollment period, and you will see banners asking you to enroll in 2FA on GitHub.com. If you don't receive a notification, then you are not part of a group required to enable 2FA, though we strongly recommend it.

    For more information about the 2FA enrollment rollout, see this blog post.
    24 条回复    2023-08-15 14:04:08 +08:00
    AoEiuV020CN
        1
    AoEiuV020CN  
       2023-03-22 11:37:30 +08:00
    启用了,github 都直说必须启用而且无法禁用了,压根没给人选择,
    我是在苹果备用机上挂着的 google authenticator 验证,主力安卓机怕哪天刷机就搞忘了,
    外加 knownRoaming 短信验证,
    sunshower
        2
    sunshower  
       2023-03-22 12:08:15 +08:00 via Android
    1p 自动填
    yaott2020
        3
    yaott2020  
       2023-03-22 12:09:58 +08:00 via Android
    开了,自己 bitwarden(用 vaultwarden)
    abbcccdddd
        4
    abbcccdddd  
       2023-03-22 12:21:06 +08:00 via Android
    用了,1password 加 Authy 一起用
    superchijinpeng
        5
    superchijinpeng  
       2023-03-22 12:38:35 +08:00
    开了 apple passkey
    nijux
        6
    nijux  
       2023-03-22 13:33:48 +08:00
    iOS ‎- Raivo OTP
    Android - Aegis
    cssk
        7
    cssk  
       2023-03-22 13:37:12 +08:00 via iPhone
    yubikey
    j717273419
        8
    j717273419  
       2023-03-22 13:58:19 +08:00
    @abbcccdddd 我也是 authy ,有个小疑问。不同的 2fa 软件能共享吗?
    magic3584
        9
    magic3584  
       2023-03-22 13:59:48 +08:00
    短信验证算吗?
    edwang
        10
    edwang  
       2023-03-22 14:03:46 +08:00
    开了,用的 Microsoft Authenticator 可以云备份
    iold
        11
    iold  
       2023-03-22 14:54:06 +08:00
    Github 客户端不就可以吗。
    abbcccdddd
        12
    abbcccdddd  
       2023-03-22 15:47:53 +08:00   ❤️ 1
    @j717273419 #8
    扫同一个二维码就行了
    oneisall8955
        13
    oneisall8955  
       2023-03-22 18:37:52 +08:00 via Android
    bitwarden 自建,挺好用的
    starrycat
        14
    starrycat  
       2023-03-22 19:02:23 +08:00 via Android
    谷歌身份验证器,第一次用是因为学校 vpn 登录要用
    chinni
        15
    chinni  
       2023-03-22 21:54:55 +08:00
    enpass 挺好用的.
    wunonglin
        16
    wunonglin  
       2023-03-22 22:39:25 +08:00
    1password 存着,很方便
    xiaozecn
        17
    xiaozecn  
       2023-03-22 22:52:16 +08:00 via Android
    两个飞天诚信 Key
    boris1993Jr
        18
    boris1993Jr  
       2023-03-23 06:29:07 +08:00 via iPhone
    必须启用了
    TOTP 交给 1password
    同时还绑了 yubikey
    Rocketer
        19
    Rocketer  
       2023-03-23 08:09:01 +08:00 via iPhone
    重要的东西绝对不能依赖于一处,所以我都是 Authy 和 Microsoft Authenticator 一起用,每添加一个账号都是用这两个 app 分别扫一下二维码。

    平时使用以 MS 为主(因为登陆公司域账号都需要用这个),Authy 作为备份。万一哪天 MS 的数据丢了,我也不至于原地火化。
    l4ever
        20
    l4ever  
       2023-03-23 08:44:46 +08:00
    @Rocketer Authy 慎用.
    baobao1270
        21
    baobao1270  
       2023-03-24 10:03:20 +08:00
    虽然我自己给所有支持的账户启用了 TOTP 和 YubiKey ,但是对于这种强制所有用户必须用 2FA 的操作不敢苟同,甚至感觉和国内必须 App 扫码登陆一样恶心。最近微软都在给自家平台推强制 2FA ,不管是 Office 365 还是 GitHub 都开始执行这个政策,让我有很强的「越位代替用户做选择」的感觉。当然或许更多的商业因素——为了完成「 Microsoft Authenticator 」这个 App 的推广 KPI 吧。微软在 2FA 上也确实在恶心用户:必须使用 Edge 浏览器或者在 Windows 平台上才能使用 FIDO2 ;必须下载并登录 Microsoft Authenticator App 才能启用「 Passwordless Login 」。

    一方面基本上所有的平台,并没有、也不可能全面性的 enforce 。除了某些特别敏感的场景(修改密码、注销账户等)在本质上是 2FA 的,对于日常使用,App Password 和 API Token 的存在相当于「给大门上了两把锁、但是在墙上开了一个只要弯腰就能进去的洞」。App Password 和 API Token 在本质上和「随机性的、不重复使用的密码」没有本质区别,其泄露造成的后果和「在没有启用 2FA 的情况下泄露密码」是等同的。更可怕的是 2FA 给了用户一种虚假的安全感,即使用户有足够的技术知识知道 App Password 和 API Token 能够绕过 2FA ,但是会下意识的忽略这方面的风险。

    另外作为一个用户广泛的平台,用户的使用方式和使用设备是非常多样的。不是所有用户都有另一个设备作为 TOTP 设备。我有一些高中生朋友,在 GitHub 上活跃参加开源项目的贡献,但是因为他只有电脑、没有手机,那么强制他的账户开启 2FA 将使他陷入困境。

    总之,各个公司支持多样化的 2FA 方式,并提倡用户使用之是喜闻乐见的,同时更应该提倡使用开放性的 2FA 协议(点名批评国内扫码登陆和 Microsoft Authenticator );但是我认为对于大众平台强制所有用户开启 2FA 是糟糕的——应当将是否开启 2FA 的选择权交给用户本身。对于 App Password 和 API Token ,企业也应该告知用户「不是开启了 2FA 、就不用担心泄露了」,最好也能够进行更细粒度的权限控制,而不是让一个 App Password 或 API Token 全权代表用户。
    dif
        22
    dif  
       2023-03-24 15:40:02 +08:00
    用的 Authy --///
    j717273419
        23
    j717273419  
       2023-03-25 12:55:07 +08:00
    @abbcccdddd 感谢提醒。我把手上的几个主要用的账号。2FA 重新关闭,又打开了, 使用网友的建议,在开启 2FA 时,扫同一个二维码就行了。然后现在同时用了 3 家的验证器。
    Google Authenticator + Microsoft Authenticator + Authy
    QiuHong
        24
    QiuHong  
       2023-08-15 14:04:08 +08:00
    @baobao1270 还有一个很不明白的一点是为啥邮箱不能作为一种 F2A 的手段呢
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1103 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 22:43 · PVG 06:43 · LAX 14:43 · JFK 17:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.