GitLab免费使用者账户将无法重置多因素验证

GitLab宣布未来免费使用者将无法重置多因素验证，因此当使用者丢失身份验证方法，又忘记备份SSH金钥，将无法恢复账户，而企业用户则不受此限，但需要经过严格的身份验证程序，才可重置多因素验证。

GitLab发现用户正受到全新的攻击手法威胁，而这些手法过去不曾在GitLab.com上出现过，为了要防御这些新型态的攻击，GitLab决定收紧多因素验证政策。未来当使用者不小心丢失了手机、恢复密码等所有主要身份验证方法，或是购买了新笔电，但是却忘记备份SSH金钥，则开发者的账户将无法恢复。

而使用公司电子邮件地址创建的付费账号，仍可以请求重置多因素验证，但至少需要三个工作日，并且需要通过一系列的安全性验证，以证明拥有账户的所有权。官方提到，他们看到许多服务，其提供的多因素验证重置政策，刚好抵消了多因素验证所带来的安全性，包括使用移动电话号码作为恢复方法，在许多国家和地区，将电话号码作为恢复方法有其安全性问题。

从2020年8月15日开始，GitLab将不再处理免费账户的多因素验证重置，也就是说，使用者必须要确保拥有适当的备份，才能在必要的情况恢复账户。GitLab提醒使用者，应该生成恢复码，并且储存在安全的地方，尽可能地使用硬件令牌，最好将SSH金钥增加到账户中，以允许生成备份码，否则一旦用户无法提供多因素验证令牌，则账户无法恢复。