你们的 github 账号启用 2FA 了吗？

启用了，github 都直说必须启用而且无法禁用了，压根没给人选择，
我是在苹果备用机上挂着的 google authenticator 验证，主力安卓机怕哪天刷机就搞忘了，
外加 knownRoaming 短信验证，

1p 自动填

开了，自己 bitwarden(用 vaultwarden)

用了，1password 加 Authy 一起用

开了 apple passkey

iOS ‎- Raivo OTP
Android - Aegis

yubikey

@abbcccdddd 我也是 authy ，有个小疑问。不同的 2fa 软件能共享吗？

短信验证算吗？

开了，用的 Microsoft Authenticator 可以云备份

Github 客户端不就可以吗。

@j717273419 #8
扫同一个二维码就行了

bitwarden 自建，挺好用的

谷歌身份验证器，第一次用是因为学校 vpn 登录要用

enpass 挺好用的.

1password 存着，很方便

两个飞天诚信 Key

必须启用了
TOTP 交给 1password
同时还绑了 yubikey

重要的东西绝对不能依赖于一处，所以我都是 Authy 和 Microsoft Authenticator 一起用，每添加一个账号都是用这两个 app 分别扫一下二维码。

平时使用以 MS 为主（因为登陆公司域账号都需要用这个），Authy 作为备份。万一哪天 MS 的数据丢了，我也不至于原地火化。

@Rocketer Authy 慎用.

虽然我自己给所有支持的账户启用了 TOTP 和 YubiKey ，但是对于这种强制所有用户必须用 2FA 的操作不敢苟同，甚至感觉和国内必须 App 扫码登陆一样恶心。最近微软都在给自家平台推强制 2FA ，不管是 Office 365 还是 GitHub 都开始执行这个政策，让我有很强的「越位代替用户做选择」的感觉。当然或许更多的商业因素——为了完成「 Microsoft Authenticator 」这个 App 的推广 KPI 吧。微软在 2FA 上也确实在恶心用户：必须使用 Edge 浏览器或者在 Windows 平台上才能使用 FIDO2 ；必须下载并登录 Microsoft Authenticator App 才能启用「 Passwordless Login 」。

一方面基本上所有的平台，并没有、也不可能全面性的 enforce 。除了某些特别敏感的场景（修改密码、注销账户等）在本质上是 2FA 的，对于日常使用，App Password 和 API Token 的存在相当于「给大门上了两把锁、但是在墙上开了一个只要弯腰就能进去的洞」。App Password 和 API Token 在本质上和「随机性的、不重复使用的密码」没有本质区别，其泄露造成的后果和「在没有启用 2FA 的情况下泄露密码」是等同的。更可怕的是 2FA 给了用户一种虚假的安全感，即使用户有足够的技术知识知道 App Password 和 API Token 能够绕过 2FA ，但是会下意识的忽略这方面的风险。

另外作为一个用户广泛的平台，用户的使用方式和使用设备是非常多样的。不是所有用户都有另一个设备作为 TOTP 设备。我有一些高中生朋友，在 GitHub 上活跃参加开源项目的贡献，但是因为他只有电脑、没有手机，那么强制他的账户开启 2FA 将使他陷入困境。

总之，各个公司支持多样化的 2FA 方式，并提倡用户使用之是喜闻乐见的，同时更应该提倡使用开放性的 2FA 协议（点名批评国内扫码登陆和 Microsoft Authenticator ）；但是我认为对于大众平台强制所有用户开启 2FA 是糟糕的——应当将是否开启 2FA 的选择权交给用户本身。对于 App Password 和 API Token ，企业也应该告知用户「不是开启了 2FA 、就不用担心泄露了」，最好也能够进行更细粒度的权限控制，而不是让一个 App Password 或 API Token 全权代表用户。

用的 Authy --///

@abbcccdddd 感谢提醒。我把手上的几个主要用的账号。2FA 重新关闭，又打开了, 使用网友的建议，在开启 2FA 时，扫同一个二维码就行了。然后现在同时用了 3 家的验证器。
Google Authenticator + Microsoft Authenticator + Authy