<div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;font-size:small"><br></div><br><div class="gmail_quote"><div dir="ltr">On Sun, Oct 7, 2018 at 5:55 AM Erik Huelsmann <<a href="mailto:ehuels@gmail.com">ehuels@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Hi all,<br></div><div><br></div><div>Almost 4 years have passed since the initial installation of GitLab on <a href="http://common-lisp.net" target="_blank">common-lisp.net</a>.</div><div>During
 that period, GitLab (the open source project) has seen tremendous 
growth both in user community and functionality. Our own GitLab instance
 has grown quite a bit as well. With almost 700 projects and nearly 500 
users, it's quite a bit bigger now than the initial CVS migration which 
resulted in 379 projects and 395 users. (We did both the Git and Darcs 
migrations after that, which added to the growth.)</div><div><br></div><div>Originally,
 we decided we wanted to create our own accounts and not support 
account-auto-creation (based on experience shared by GitLab.com). Today,
 GitLab lets itself be configured to auto-create accounts from GitHub 
using GitHub credentials. <br></div><div>We have long supported the 
possibility of allowing accounts to be tied to Google and GitHub OAuth2 
for the purpose of authentication. Additionally, we support 2FA these 
days.</div><div>I'm wondering if we can be a bit more relaxed with 
account creation (allowing auto-creation), but be a bit more strict on 
account login: i.e. require 2FA.</div></div></blockquote><div><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;font-size:small">Auto-creation seems nice since it lowers the barrier to entry for people wanting to create create projects or filing bugs, and there's also less work for the admins.  But I thought one reason you stopped doing this was the number of spam accounts.  Will this become a problem?</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;font-size:small">Are you going to require 2FA for existing accounts as well?  And what 2FA methods will you support?  SMS?  Google Authenticator app?  Security (FIDO) keys?  (I'm finally going to set up 2FA for my personal accounts using security keys, so this comes at a good time. I've had to add 2FA to my github account already, using the authenticator app.)</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;font-size:small"></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><br></div><div>Do you have any opinion on the matter?</div><br clear="all"><br>-- <br><div dir="ltr" class="m_1236821183648981752gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Bye,<div><br></div><div>Erik.</div><div><br></div><div><a href="http://efficito.com/" target="_blank">http://efficito.com</a> -- Hosted accounting and ERP.</div><div>Robust and Flexible. No vendor lock-in.</div></div></div></div>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div></div>Ray<br></div></div></div>