GitHub要求开启2FA，否则不让用了。

背景

其实大概在一个多月前，在 GitHub 网页端以及邮箱里都被提示：要求开启 2FA ，即双因子认证；但是当时由于拖延症和侥幸心理作祟，直接忽略了相关信息，毕竟“又不是不能用”。。

只到今天发现 GitHub 直接跳转至 2FA 页面，不操作不让用啦，还下了最后通牒。。

那么在实际操作开启 2FA 之前，我们先搞清楚两个问题：

1. 什么是2FA?
2. 为什么要用2FA?

什么是2FA

2FA 是指两步验证（Two-Factor Authentication）的缩写。它是一种用于增强账户安全性的身份验证方法。传统的身份验证通常只需要输入用户名和密码，而 2FA 则要求用户在登录时提供额外的身份验证信息，通常是通过手机应用程序生成的一次性验证码。这种额外的验证因素可以是手机短信验证码、手机应用程序生成的动态验证码、指纹识别等。通过使用 2FA ，即使黑客获得了用户的密码，他们仍然需要额外的验证信息才能成功登录用户的账户，从而提高了账户的安全性。

为什么要用2FA

引用 GitHub 在邮件中的说明： GitHub 是软件供应链的核心，确保软件供应链的安全要从保护开发人员开始。因此我们正在推进 2FA 计划，通过提高账户安全性来保护软件开发。通常，开发人员的账户是社会工程和账户接管（ATO）的攻击目标。保护开源生态系统的开发人员和消费者免受此类攻击是确保供应链安全的第一步，也是最关键的一步。

常见的2FA手段有哪些

1. 短信验证码：通过短信向用户发送一次性验证码。
2. 软件令牌：使用应用程序生成的一次性验证码。
3. 硬件令牌：物理设备生成的一次性验证码。
4. 生物识别：如指纹或面部识别。
5. 随机问题：用户需要回答预先设置的安全问题。
6. 手机应用程序验证：使用专门的验证应用程序生成的一次性验证码。

显然，GitHub 这里用的是使用专门的验证应用程序生成的一次性验证码来进行双因子认证。

如何开启2FA

GitHub 主要提供了 Set up using an app 和 Set up using SMS 两种认证方式，一开始我点进来默认是发短信的方式，但是发现里面竟然没有中国大陆的（主要是中国大陆的手机号码无法接收短信），我就点了使用 APP 的方式进行认证。

Step1: 下载APP，扫描二维码

我是 Android 操作系统。到 应用市场 搜索 Auth 会列出一个 Authing令牌 的应用，下载并安装即可。

Step2: 输入动态码，下载恢复码

第一步中，使用 Authing令牌 APP扫描二维码后，在APP上会有一个动态码（有时间限制），输入到网页端的验证码框里后，会显示以下恢复码，下载并继续。

Step3: 完成2FA认证

完成以上操作后，便开启了 2FA 认证，又可以愉快地玩耍了~

小总结

以上便是 GitHub 开启 2FA 的流程，前提选择一个支持 2FA 的应用或服务。常见的 2FA 应用包括 Google Authenticator 、 Authy 和 Microsoft Authenticator 等；这种方式的麻烦之处就是在手机上多装了一个 APP 。。

GitHub 强制用户开启两步验证（2FA）是为了增强账户安全性。这可以有效防止未经授权的访问和保护用户的代码和敏感信息。虽然这可能增加一些额外的步骤，但对于保护个人和团队的代码和数据来说是非常重要的。

If you have any questions or any bugs are found, please feel free to contact me.

Your comments and suggestions are welcome!