你们的 github 账号启用 2FA 了吗？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 597 天前的主题，其中的信息可能已经有所发展或是发生改变。

你们用什么管理 TOTP(one-time password) 呢？

Note: Starting in March 2023 and through the end of 2023, GitHub will gradually begin to require all users who contribute code on GitHub.com to enable one or more forms of two-factor authentication (2FA). If you are in an eligible group, you will receive a notification email when that group is selected for enrollment, marking the beginning of a 45-day 2FA enrollment period, and you will see banners asking you to enroll in 2FA on GitHub.com. If you don't receive a notification, then you are not part of a group required to enable 2FA, though we strongly recommend it.

For more information about the 2FA enrollment rollout, see this blog post.

24 条回复 • 2023-08-15 14:04:08 +08:00

AoEiuV020CN

2023-03-22 11:37:30 +08:00

启用了，github 都直说必须启用而且无法禁用了，压根没给人选择，
我是在苹果备用机上挂着的 google authenticator 验证，主力安卓机怕哪天刷机就搞忘了，
外加 knownRoaming 短信验证，

sunshower

2023-03-22 12:08:15 +08:00 via Android

1p 自动填

yaott2020

2023-03-22 12:09:58 +08:00 via Android

开了，自己 bitwarden(用 vaultwarden)

abbcccdddd

2023-03-22 12:21:06 +08:00 via Android

用了，1password 加 Authy 一起用

superchijinpeng

2023-03-22 12:38:35 +08:00

开了 apple passkey

nijux

2023-03-22 13:33:48 +08:00

iOS ‎- Raivo OTP
Android - Aegis

cssk

2023-03-22 13:37:12 +08:00 via iPhone

yubikey

j717273419

2023-03-22 13:58:19 +08:00

@abbcccdddd 我也是 authy ，有个小疑问。不同的 2fa 软件能共享吗？

magic3584

2023-03-22 13:59:48 +08:00

短信验证算吗？

edwang

2023-03-22 14:03:46 +08:00

开了，用的 Microsoft Authenticator 可以云备份

iold

2023-03-22 14:54:06 +08:00

Github 客户端不就可以吗。

abbcccdddd

2023-03-22 15:47:53 +08:00

@j717273419 #8
扫同一个二维码就行了

oneisall8955

2023-03-22 18:37:52 +08:00 via Android

bitwarden 自建，挺好用的

starrycat

2023-03-22 19:02:23 +08:00 via Android

谷歌身份验证器，第一次用是因为学校 vpn 登录要用

chinni

2023-03-22 21:54:55 +08:00

enpass 挺好用的.

wunonglin

2023-03-22 22:39:25 +08:00

1password 存着，很方便

xiaozecn

2023-03-22 22:52:16 +08:00 via Android

两个飞天诚信 Key

boris1993Jr

2023-03-23 06:29:07 +08:00 via iPhone

必须启用了
TOTP 交给 1password
同时还绑了 yubikey

Rocketer

2023-03-23 08:09:01 +08:00 via iPhone

重要的东西绝对不能依赖于一处，所以我都是 Authy 和 Microsoft Authenticator 一起用，每添加一个账号都是用这两个 app 分别扫一下二维码。

平时使用以 MS 为主（因为登陆公司域账号都需要用这个），Authy 作为备份。万一哪天 MS 的数据丢了，我也不至于原地火化。

l4ever

2023-03-23 08:44:46 +08:00

@Rocketer Authy 慎用.

baobao1270

2023-03-24 10:03:20 +08:00

虽然我自己给所有支持的账户启用了 TOTP 和 YubiKey ，但是对于这种强制所有用户必须用 2FA 的操作不敢苟同，甚至感觉和国内必须 App 扫码登陆一样恶心。最近微软都在给自家平台推强制 2FA ，不管是 Office 365 还是 GitHub 都开始执行这个政策，让我有很强的「越位代替用户做选择」的感觉。当然或许更多的商业因素——为了完成「 Microsoft Authenticator 」这个 App 的推广 KPI 吧。微软在 2FA 上也确实在恶心用户：必须使用 Edge 浏览器或者在 Windows 平台上才能使用 FIDO2 ；必须下载并登录 Microsoft Authenticator App 才能启用「 Passwordless Login 」。

一方面基本上所有的平台，并没有、也不可能全面性的 enforce 。除了某些特别敏感的场景（修改密码、注销账户等）在本质上是 2FA 的，对于日常使用，App Password 和 API Token 的存在相当于「给大门上了两把锁、但是在墙上开了一个只要弯腰就能进去的洞」。App Password 和 API Token 在本质上和「随机性的、不重复使用的密码」没有本质区别，其泄露造成的后果和「在没有启用 2FA 的情况下泄露密码」是等同的。更可怕的是 2FA 给了用户一种虚假的安全感，即使用户有足够的技术知识知道 App Password 和 API Token 能够绕过 2FA ，但是会下意识的忽略这方面的风险。

另外作为一个用户广泛的平台，用户的使用方式和使用设备是非常多样的。不是所有用户都有另一个设备作为 TOTP 设备。我有一些高中生朋友，在 GitHub 上活跃参加开源项目的贡献，但是因为他只有电脑、没有手机，那么强制他的账户开启 2FA 将使他陷入困境。

总之，各个公司支持多样化的 2FA 方式，并提倡用户使用之是喜闻乐见的，同时更应该提倡使用开放性的 2FA 协议（点名批评国内扫码登陆和 Microsoft Authenticator ）；但是我认为对于大众平台强制所有用户开启 2FA 是糟糕的——应当将是否开启 2FA 的选择权交给用户本身。对于 App Password 和 API Token ，企业也应该告知用户「不是开启了 2FA 、就不用担心泄露了」，最好也能够进行更细粒度的权限控制，而不是让一个 App Password 或 API Token 全权代表用户。

dif

2023-03-24 15:40:02 +08:00

用的 Authy --///

j717273419

2023-03-25 12:55:07 +08:00

@abbcccdddd 感谢提醒。我把手上的几个主要用的账号。2FA 重新关闭，又打开了, 使用网友的建议，在开启 2FA 时，扫同一个二维码就行了。然后现在同时用了 3 家的验证器。
Google Authenticator + Microsoft Authenticator + Authy

QiuHong

2023-08-15 14:04:08 +08:00

@baobao1270 还有一个很不明白的一点是为啥邮箱不能作为一种 F2A 的手段呢