2年前の2018年、私は「Keeping your GitLab account safe (and accessible)」というブログ記事を書きました。その中で、ユーザーがアカウントを安全かつ復旧可能な状態に保っていることを確認するためのいくつかの方法について説明しました。
2020年現在、GitLabは企業としてより成熟してきました。今日、GitLab.comのユーザーは、以前は考えられなかったような攻撃に直面し始めています。そのため、私たちは、セキュリティ対策をより強固なものにしたいと考えています。例えば、多要素認証(MFA)のリセットには、MFAのセキュリティ上のメリットを損なうリスクがあります。
その対策として、アカウントのセキュリティ対策を完全にユーザーに委ねる変更を行うことにしました。
2020年8月15日より、GitLab.comでは無料アカウントのMFAのリセット処理を受け付けません。
この変更は、GitLab.comでMFAを使用しているユーザーは、アカウントを復旧するためのバックアップ方法を用意しなければならないことを意味します。
つまり、以下を行う必要があります。
- リカバリーコードを(再)生成し、安全な場所に保管してください。
- 可能な限りハードウェアトークンを使用してください。
- アカウントにSSHキーを追加して、バックアップコードを生成できるようにしてください。
スマートフォンを紛失した場合など、MFAトークンを入力できない状況で、これらのバックアップ方法も用意されていないとアカウントの復旧は不可能になります。
よくある質問
誤ってスマートフォン/リカバリコードを紛失し、かつ新しいノートパソコンを手に入れてSSHキーをバックアップするのを忘れてしまった場合はどうすればいいのでしょうか?
基本認証とすべてのバックアップ認証を失うと、アカウントの復旧は不可能になります。
これが仕事用のアカウントだったら?
会社のメールアドレスで作成された有料アカウントの場合、MFAのリセットを要求することができます。この処理にはアカウントの所有権を確認するためのいくつかの手順を踏む必要があり、最低3営業日かかります。
この変更に異議がある場合は、お知らせください。
私たちはこのフォーラムの投稿でコミュニティのフィードバックを受け付けています。
復旧方法として電話番号を追加することはできますか?
フォーラムの投稿でも議論していますが、多くの国で、復旧方法としての電話番号には問題があります。
復旧方法としてXを追加することはできますか?
GitLabはより広いコミュニティと共同で開発されています。 gitlab.com/gitlab-org/gitlabでマージリクエストや機能提案を受け付けています。
GitLabインスタンスのセキュリティのベストプラクティスについてはこちらをご覧ください。
