• 作者: 作者
  • 时间:
  • 分类: 文章

最近在社区里看到有小伙伴吐槽:“之前手滑或者一时兴起把 GitHub 的双因素认证(2FA)给开了,现在登录、仓库操作简直繁琐到爆炸,能不能关掉啊?这太麻烦了!

说实话,这种心情我太能理解了。每次打开手机等个 6 位数验证码,或者 Authenticator app 一崩溃就进不去账号,确实让人头秃。但是,作为经常混迹技术圈的人,我得先给大家泼一盆冷水:在GitHub上关闭2FA,通常是有条件的,而且风险极高。

GitHub 双因素认证相关插图

GitHub 双因素认证示意图

今天这篇文章,咱们就分两步走:第一,教大家在允许的情况下如何关闭它;第二,深聊一下为什么 GitHub 现在死磕 2FA,以及有没有折中的“不麻烦”方案。

一、 想关闭 2FA?先看你有没有“资格”

很多人在后台一顿找,发现根本找不到“Disable”按钮。这不是你眼神不好,而是 GitHub 早就从规则上卡死了某些用户。

如果你属于以下两类人,你是无法关闭 2FA 的:

  1. 被强制要求的贡献者:你在某个组织(Organization)里拥有较高权限,或者你参与的某个开源项目开启了“要求 2FA”的安全设置。为了代码库安全,要么你开 2FA,要么你退出项目,没得选。
  2. DevOps/CI/CD 流程涉及者:因为 GitHub 现在正在全面推行“Hardened Security”(加固安全),很多开源项目的维护者都被强制要求开启双因素认证。

GitHub 关闭双因素认证步骤截图

关闭 GitHub 双因素认证的操作步骤

如果你只是普通的个人用户,之前是自己手贱点的“开启”,那恭喜你,还有救。

二、 个人账号关闭 2FA 的保姆级教程

如果你确认自己没有被强制要求,那可以按照以下步骤操作(建议电脑端操作,流程更清晰):

GitHub 账号安全风险警示图

关闭 GitHub 双因素认证可能带来的安全风险

  1. 登录 GitHub:这一步肯定要先完成,既然能登录,说明你的 2FA 还在正常运行。
  2. 进入设置页面:点击右上角的头像,选择 Settings(设置)
  3. 找到安全中心:在左侧侧边栏的最下方,你会看到 Security(安全) 选项,点进去。
  4. 关闭双重验证:在“Two-factor authentication(双因素认证)”板块下,你会看到目前开启的状态(比如是 APP 还是短信)。点击下方的 Disable two-factor authentication(禁用双重验证) 按钮。
  5. 最后一步确认:GitHub 会非常严肃地弹窗警告你:“关了这个,你的账号就不安全了哦!”如果你铁了心要关,就需要再次输入你的 GitHub 密码作为最终确认。

搞定!虽然心里慌兮兮的,但那一串烦人的验证码确实不复存在了。以后登录只需要账号密码即可(虽然现在很多浏览器只记住密码,但少了 SMS 推送确实清爽了一些)。

三、 为什么我强烈建议你别关?(哪怕它很烦)

桌面端 Authenticator 应用界面

桌面端 Authenticator 应用推荐

我知道,说完上面的步骤,很多人会立马去关。但在你按下确认键之前,我必须得讲讲后果。

GitHub Passkey 设置界面

GitHub Passkey(通行密钥)设置指南

GitHub 托管着全球最重要的开源代码,里面不仅有无数大厂的项目,更有你的 SSH 密钥、私有仓库、甚至是你个人的隐私信息。黑客对 GitHub 账号的觊觎程度远超你的想象。

关掉 2FA,你将面临:

  1. 社工库/撞库攻击:你的密码如果在其他网站泄露过(这年头很难保证没泄露过),黑客拿来到 GitHub 试一试,就能直接登入。
  2. 代码投毒风险:一旦账号被盗,黑客可能利用你的权限向开源项目提交恶意代码,这不仅是你的锅,还可能造成严重的供应链安全事故。
  3. 丢失账号:一旦别人进去了,顺手改掉你的邮箱和密码,你找哭都没地方找去。

四、 觉得 2FA 麻烦?不,是你没选对工具

很多人觉得 2FA 麻烦,是因为一想到“输验证码”就联想到“掏手机 + 解锁 + 找微信/短信 + 复制粘贴”。其实,现在的 2FA 早就不是当年的石器时代了。

如果你觉得手机 APP 麻烦,试试这几个方案:

  1. 使用桌面端 Authenticator:比如 Mac 上的 Authy Desktop 或者 WinAuth,验证码直接显示在电脑屏幕一角,不需要碰手机,甚至可以自动复制,完全零感知。
  2. 浏览器插件方案:像 Authenticator 这种 Chrome/Edge 插件,登录时插件自动填充验证码,体验丝般顺滑。
  3. Passkey(通行密钥):GitHub 现在支持 WebAuthn/Passkey,你可以用指纹、面容 ID 或者 Windows Hello 直接登录。这才是真正的“懒人福音”,既安全又不用记验证码。去 Settings -> Security -> Passkeys 里添加一把试试,你会发现新大陆。

总结

虽然你有权关闭 GitHub 的双因素验证,但在这个黑客遍地走的年代,安全永远是第一位的。关掉它或许能让你在登录的那一秒钟少按几个数字,但万一账号被盗,那麻烦程度可是呈指数级上升的。

建议各位想关的兄弟妹子先忍一忍,去换个舒服的验证工具(比如 Passkey),既省事又安心。毕竟,代码可以重写,账号丢了就真的没了!

如果以上步骤对你有帮助,别忘了收藏备用;如果你尝试了还是关不掉,大概率是被项目强制要求了,这时候建议老老实实开启,或者退出那个项目,安全第一嘛!

标签: none

评论已关闭