Impossibile disabilitare la 2FA

pfaffman · 11 Agosto 2020, 4:54pm

Non riesco a disabilitare l’autenticazione a due fattori (2FA) sul mio account qui su Meta. Quando faccio clic su disabilita, viene indicato che è stata disabilitata, ma quando ricarico la pagina, la 2FA risulta ancora attiva, con tutte le mie chiavi e altro. Ricevo persino un’email che conferma la disabilitazione, ma non è così.

Potrebbe essere correlato al fatto di avere sia un indirizzo email principale che uno secondario? Quando ho provato a effettuare l’accesso dal telefono poco fa, il sistema ha richiesto la verifica dell’indirizzo email literatecomputing.com. Pensavo che questo potesse risolvere il caso limite bizzarro che mi ha portato in questa situazione, ma purtroppo la 2FA è ancora attiva.

Sono riuscito a riaccedere con il telefono, quindi probabilmente non mi darà problemi per alcuni mesi.

Sembra un bug legittimo, anche se probabilmente si tratta di un caso limite derivante da qualcosa accaduto nei primi tempi della 2FA.

L’ho già segnalato in passato, ma finora tutti si sono solo

codinghorror · 11 Agosto 2020, 4:55pm

Possiamo riprodurlo @tshenry?

itsbhanusharma · 11 Agosto 2020, 5:15pm

@pfaffman qual è la probabilità che sia limitato a un particolare tipo di 2FA?

Ho appena provato a riprodurre il problema e la mia autenticazione a due fattori TOTP è stata disabilitata immediatamente.

tshenry · 11 Agosto 2020, 5:29pm

Sì, questo è solo un problema legato alle chiavi di sicurezza. Premere il pulsante Disabilita nella pagina principale di gestione del secondo fattore del tuo profilo utente disabilita solo gli autenticatori basati su token, quando invece dovrebbe disabilitare tutti i metodi del secondo fattore.

Tieni presente che puoi disabilitare le chiavi selezionando il piccolo pulsante a forma di matita accanto al nome della chiave e premendo il pulsante del cestino nella finestra modale:

Questo bug è sulla mia lista da un po’ di tempo, quindi è colpa mia per aver trascurato la cosa. Penso che una delle cause sia stata che ho visto questo e non ho guardato abbastanza attentamente:

Pensavo che probabilmente avesse risolto il problema e avevo intenzione di verificarlo, ma non sono mai arrivato a farlo. La correzione sopra citata era dal punto di vista dell’amministratore. Penso che la correzione dal punto di vista dell’utente dovrebbe essere molto simile. In ogni caso, mi assicurerò di inserire una correzione nel flusso di lavoro questa settimana.

pfaffman · 11 Agosto 2020, 5:30pm

100%

Li ho eliminati uno alla volta e ha funzionato perfettamente. Non so perché non ci avessi pensato prima. Scusa per il disturbo.

Quindi, se c’è un bug, riguarda l’opzione “DISATTIVA TUTTI”.

tshenry · 31 Agosto 2020, 7:55pm

Questo dovrebbe essere corretto ora

github.com/discourse/discourse

FIX: Ensure disabling 2FA works as expected (#10485)

master ← second-factor-fixes

merged 04:56PM - 31 Aug 20 UTC

tshenry

+48 -10

This will fix the bug reported [here on Meta](https://meta.discourse.org/t/cant-…disable-2fa/160500) The second factor management page has previously included a "Disable" button. Selecting this button brings up a confirmation: <img width="619" alt="old" src="https://user-images.githubusercontent.com/22733864/90696567-5a087500-e231-11ea-8156-1ce333502d9f.png"> Instead of disabling all registered TOTP Authenticators **and** Security Keys, confirming only disables all TOTP Authenticators. --- This PR will change the "Disable" button on the second factor management page to say "Disable All," and make a few styling/copy improvements to the confirmation: <img width="618" alt="Screen Shot 2020-08-13 at 6 45 51 PM" src="https://user-images.githubusercontent.com/22733864/90697350-0d259e00-e233-11ea-84cf-48b44d0389dd.png"> <img width="618" alt="Screen Shot 2020-08-19 at 3 31 25 PM" src="https://user-images.githubusercontent.com/22733864/90697359-13b41580-e233-11ea-98cb-95262ad444e2.png"> It also fixes the behavior so that **all** second factor methods are removed when using the "Disable All" button. **Notes** - The test was tricky and takes heavy inspirations from other tests. I imagine there may be a more elegant or complete implementation, but I'm pretty sure I have the most important functionality tested. If I need to make any changes, let me know. - Both second factor methods can be disabled individually instead of using the "Disable All" button using the pencil icon buttons showing in the above screenshot. What I came to realize is that the implementation for individual disabling is quite different than the disable all method. The "Disable All" button deletes the relevant `user_second_factors` and `user_security_keys` records from the database, whereas disabling the second factors individually sets `enabled: false` in the relevant record and keeps it around. This is not new behavior and nothing is technically broken, I just wanted to bring it up in case we might want to have consistency. If anything needs to change, I imagine it can be addressed in a follow-up commit.

tshenry · 2 Settembre 2020, 1:00am

Questo argomento è stato chiuso automaticamente dopo 29 ore. Non sono più ammesse nuove risposte.

Argomento		Risposte	Visualizzazioni
Cannot disable 2FA for User Support	6	872	Marzo 7, 2021
Task "users:disable_2fa" does not disable security keys Bug	4	390	Marzo 18, 2023
How to disable 2FA Support	12	1396	Novembre 20, 2019
Admin locked out of site after deleting two-factor keys from prefs Bug	26	2348	Dicembre 8, 2022
Oops, I lost my phone. How can I OTP now? Support	7	5413	Aprile 18, 2020

Impossibile disabilitare la 2FA

Argomenti correlati