PGP签名登录也是单因素认证。加上两步验证会更安全一些。
-
thphd 2047前站长 现在很多服务是2FA,但这些服务是商业服务,可以承担忘记密码恢复的客服成本。
例如让用户提交身份证件之类的方法来证明所有权。
而本站是匿名的,如果开2FA,一旦忘记密码或者弄丢手机我无法处理。如果我在匿名的情况下帮用户重置账户,那就直接违背了2FA的初衷,因为有2FA需求的人肯定不希望别人通过任何非2FA方式进入他的账户。
如果我不帮2FA用户重置账户,那么忘记密码或者弄丢手机就会导致很多人被永久lockout。
会有shoot yourself in the foot感
-
davidsky2012 首先,并不是所有的商业服务都可以通过客服或其他方式进行密钥重置的。比如Gmail,如果2FA只添加了Google身份验证器,没有备选方案,那么一旦2FA密钥丢失,就无法通过任何方式找回账号。
其次,提供2FA并不表示所有人都必须使用,是否启用2FA由用户自己决定。现有用户依然可以在不启用2FA的情况下继续使用,而那些启用2FA的用户就代表着自己能承受2FA密钥丢失的风险。
另外,我看到用户如果忘记密码的话,可以按照 https://2047.name/t/7388 中的方法联系站长您进行账号恢复。只是不知道站长是如何判断新旧账号是同一个人呢?用GPG签名的方式确实可以判断是否是同一个人,但如果是通过密码登录的话,虽然可能可以通过其他信息(比如历史登录IP等)判断是否是同一个人,我觉得还是有误判的可能的。
最后,我个人觉得密码同样是保护自己账号不被其他人进入的方法,和2FA理应处于同等地位。如果密码可以重置,2FA也应该有相同的待遇。不过我个人还是希望不管是密码还是2FA密钥都是不能进行重置的,一旦丢失只能注册新账号(不过我用了多平台的KeePass+Dropbox,KeePass里同时记录了密码和2FA密钥,能保证自己的密码和2FA密钥不会丢失)。
不过,是否增加2FA由站长说了算,我也只是个小小的建议罢了,因为我也不一定说的都对。而且我觉得站长也应该比较忙,有优先级更高的事情需要处理。
-
thphd 2047前站长 比如Gmail,如果2FA只添加了Google身份验证器,没有备选方案,那么一旦2FA密钥丢失,就无法通过任何方式找回账号。
是的。
只是不知道站长是如何判断新旧账号是同一个人呢?
社工问答,我觉得你是你就是。
我觉得还是有误判的可能的。
所以这项工作决定权在我,搞错了我负全责
不过我个人还是希望不管是密码还是2FA密钥都是不能进行重置的,一旦丢失只能注册新账号
忘记密码的情况挺常见的。有些用户认为自己ID有纪念价值,如果完全不能重置,体验不佳。
不过,是否增加2FA由站长说了算,我也只是个小小的建议罢了,因为我也不一定说的都对。而且我觉得站长也应该比较忙,有优先级更高的事情需要处理。
客气了。加2fa并不难。