GitLab宣布未来免费用户将无法重置多因素验证,因此当用户丢失身份验证方法,又忘记备份SSH密钥,将无法恢复账户,而企业用户则不受此限,但需要经过严格的身份验证程序,才可重置多因素验证。
GitLab发现用户正受到全新的攻击手法威胁,而这些手法过去不曾在GitLab.com上出现过,为了要防御这些新形态的攻击,GitLab决定收紧多因素验证政策。未来当用户不小心丢失了手机、恢复密码等所有主要身份验证方法,或是购买了新笔记本,但是却忘记备份SSH密钥,则开发者的账户将无法恢复。
而使用公司电子邮件地址创建的付费账号,仍可以请求重置多因素验证,但至少需要三个工作日,并且需要通过一系列的安全性验证,以证明拥有账户的所有权。官方提到,他们看到许多服务,其提供的多因素验证重置政策,刚好抵消了多因素验证所带来的安全性,包括使用移动电话号码作为恢复方法,在许多国家和地区,将电话号码作为恢复方法有其安全性问题。
从2020年8月15日开始,GitLab将不再处理免费账户的多因素验证重置,也就是说,用户必需要确保拥有适当的备份,才能在必要的情况恢复账户。GitLab提醒用户,应该生成恢复码,并且存储在安全的地方,尽可能地使用硬件令牌,最好将SSH密钥增加到账户中,以允许生成备份码,否则一旦用户无法提供多因素验证令牌,则账户无法恢复。