WordPress.org 于 2023 年 5 月开始测试双因素身份验证(2FA) 作为一项选择加入功能。界面和功能仍处于测试阶段,但已可以运行。本周,贡献者通过添加安全密钥的新界面扩大了对 2FA 的支持,该界面比一次性密码更安全。
登录用户可以通过访问其 WordPress.org 个人资料、向下滚动到“安全”部分并单击支持论坛个人资料链接来设置密钥。
设置了双因素身份验证的用户可以单击“双因素安全密钥”并按照说明进行设置。
此次界面更新还添加了基于时间的一次性密码 (TOTP),该密码是由用户在其设备上选择的身份验证应用程序生成的,并且每 30 秒更改一次。WordPress.org 目前默认使用安全密钥而不是基于时间的实时密码,但贡献者正在努力在未来使其可配置。
该界面的新增功能还包括生成备份代码的功能,以便在用户未配置 2FA 安全密钥或应用程序时进行访问。备份代码附带了 Automattic 赞助的 Meta 贡献者 Steve Dufresne 的警告,他一直致力于 2FA 项目:
无论您使用的是安全密钥还是基于时间的一次性密码, 请确保生成并打印备份代码。如果您丢失了主密钥/设备并且没有备份代码,您将永远失去对帐户的访问权限。
Dufresne 鼓励尚未设置 2FA 的 WordPress.org 用户继续这样做。任何错误都可以报告到项目的 GitHub 存储库。