2FA verpflichtend?

oc000008302275 · 11. Oktober 2022 um 09:22

Hallo zusammen,

wir sind hier etwas irritiert über die verpflichtende 2FA auf der Plattform.

So ist es doch aus unserer langjährigen Erfahrung absolut unüblich in OS-Communities mit einer 2-Faktor-Authentifizierung zu arbeiten geschweige denn dies zur Voraussetzung zur Nutzung der Kollaborationsplattform zu machen.
Insbesondere im dienstlichen Kontext ist die Verfügbarkeit von Smartphones für eine App nicht flächenhaft gegeben. Die Nutzung privater Geräte für dienstliches großteils nicht gewollt und z.t. auch untersagt.

Aus unserer Sicht wäre die 2FA als optionale Möglichkeit auf Projektebene und die so erreichte Senkung der Einstiegshürde auf die Plattform hilfreich, um eine Nutzung in der Breite zu fördern.

Wie sehen die anderen Nutzer dieses Thema?

oc000008353898 · 13. Oktober 2022 um 18:23

Insofern wir produktive Umgebung und Open-Source-Projekt einheitlich verwenden wollen finde ich persönlich den Einsatz von 2FA sinnvoll und wir würden das bei einer selbst betriebenen GitLab-Instanz wohl auch fordern.

Andererseits sehe ich natürlich das Problem für die Kollaboration gerade mit Personen die nicht beruflich in die Projekte integriert sind. Hier sind alle zusätzlichen Hürden (z.B. auch überhaupt noch einen Account auf OpenCoDE anzulegen anstatt bestehende auf GitHub oder GitLab zu nutzen) problematisch weil vor allem „drive-by contributions“ unwahrscheinlicher werden.

Idealerweise würde ich mir eine Verbindung mit der Nutzerverwaltung von GitLab selbst wünschen, z.B. 2FA für Owner und Maintainer verpflichtend, aber für Developer und Guest nicht. Oder über die Gruppen- und Projekt-Konfiguration festlegen ob 2FA für den Einsatzzweck notwendig ist oder nicht. Aber ich vermute, dass sich daraus einerseits technische Probleme in der Integration mit Keycloak und andererseits Schwierigkeiten für das Sicherheitskonzept von OpenCoDE ergeben würden.

Abschließend würde ich noch erwähnen, dass ich private mobile Endgeräte im dienstlichen Umfeld ebenfalls als hochgradig problematisch empfinde. Allerdings gibt es durchaus Alternativen wie Hardware-basierte TOTP wie z.B. Nitrokey die ich den selbst relativ anfälligen Smartphones sogar vorziehen würde oder als Übergangslösung kann KeePass(X(C)) ebenfalls TOTP erzeugen auch wenn man dann keinen wirklich unabhängigen zweiten Faktor mehr hat.