GitLab宣布未來免費使用者將無法重置多因素驗證,因此當使用者丟失身份驗證方法,又忘記備份SSH金鑰,將無法恢復帳戶,而企業用戶則不受此限,但需要經過嚴格的身份驗證程序,才可重置多因素驗證。

GitLab發現用戶正受到全新的攻擊手法威脅,而這些手法過去不曾在GitLab.com上出現過,為了要防禦這些新型態的攻擊,GitLab決定收緊多因素驗證政策。未來當使用者不小心丟失了手機、恢復密碼等所有主要身份驗證方法,或是購買了新筆電,但是卻忘記備份SSH金鑰,則開發者的帳戶將無法恢復。

而使用公司電子郵件地址創建的付費帳號,仍可以請求重置多因素驗證,但至少需要三個工作日,並且需要通過一系列的安全性驗證,以證明擁有帳戶的所有權。官方提到,他們看到許多服務,其提供的多因素驗證重置政策,剛好抵消了多因素驗證所帶來的安全性,包括使用行動電話號碼作為恢復方法,在許多國家和地區,將電話號碼作為恢復方法有其安全性問題。

從2020年8月15日開始,GitLab將不再處理免費帳戶的多因素驗證重置,也就是說,使用者必須要確保擁有適當的備份,才能在必要的情況恢復帳戶。GitLab提醒使用者,應該生成恢復碼,並且儲存在安全的地方,盡可能地使用硬體令牌,最好將SSH金鑰增加到帳戶中,以允許生成備份碼,否則一旦用戶無法提供多因素驗證令牌,則帳戶無法恢復。


Advertisement

更多 iThome相關內容