<div><div>Hi,</div><div dir="auto"><br></div><div dir="auto">I just saw the announcement on the site. Thanks for following up on this. </div></div><div><div dir="auto"><br></div><div dir="auto">Couple question:</div><div dir="auto"><br></div><div dir="auto">  o Do we have to buy some kind of hardware keys now?</div><div dir="auto"><br></div><div dir="auto">  o Will the 2FA affect git push & pull as well? Or just logging in to the actual website?</div><div dir="auto"><br></div><div dir="auto">Thanks,</div><div dir="auto"><br></div><div dir="auto">  Dave</div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><br></div><div><br><div class="gmail_quote"><div dir="ltr">On Sun, Oct 7, 2018 at 21:34 Raymond Toy <<a href="mailto:toy.raymond@gmail.com" target="_blank">toy.raymond@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;font-size:small"><br></div><br><div class="gmail_quote"><div dir="ltr">On Sun, Oct 7, 2018 at 11:14 AM Erik Huelsmann <<a href="mailto:ehuels@gmail.com" target="_blank">ehuels@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div dir="ltr"><br><div class="gmail_quote"><div>Given that situation and GitLab.com's experience, I wasn't going to submit myself to a maintenance burden like that. However, now that we have 2FA and we can require accounts to be blocked until they set up 2FA, I'm thinking that's an additional barrier on entry, which I hope is enough to keep spammers out.<br></div></div></div></div></blockquote><div><br></div><div style="font-family:arial,helvetica,sans-serif;font-size:small" class="gmail_default">That seems quite reasonable.</div><div style="font-family:arial,helvetica,sans-serif;font-size:small" class="gmail_default"></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div dir="ltr"><div class="gmail_quote"><div></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div style="font-family:arial,helvetica,sans-serif;font-size:small"></div><div style="font-family:arial,helvetica,sans-serif;font-size:small">Are you going to require 2FA for existing accounts as well?  And what 2FA methods will you support?  SMS?  Google Authenticator app?  Security (FIDO) keys?  (I'm finally going to set up 2FA for my personal accounts using security keys, so this comes at a good time. I've had to add 2FA to my github account already, using the authenticator app.)</div></div></div></blockquote><div><br></div><div>I've actually been using my FIDO key successfully to log into the admin account for the last half year or so. While I can't force people to shell out for a Yubi key v4 or v5, I'd love for people to get a U2F key at the bare minimum. It used to be supported only by Chrome, but FireFox has U2F support now too. (And my experience over the past 6 months has been with FireFox exclusively.)<br></div><div>U2F keys exist at reasonable prices of less than 10$.<br clear="all"></div></div></div></div></blockquote><div><br></div><div style="font-family:arial,helvetica,sans-serif;font-size:small" class="gmail_default">That's quite reasonable for the security.  It is a bit of a hassle because when I'm at home, since I won't be carrying a key with me, but I guess I should just get more keys to plug into my computers</div></div></div>
</blockquote></div></div>
</div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div>My Best,<br><br>Dave Cooper, david.cooper@gen.works<br><a href="http://genworks.com" target="_blank">genworks.com</a>, <a href="http://gendl.org" target="_blank">gendl.org</a><br>+1 248-330-2979<br></div><div><br></div></div></div></div></div></div></div>