¿Por qué 2FA es incompatible con las cuentas asociadas?

Parece que la 2FA es mutuamente excluyente con las cuentas asociadas:

¿Por qué es esto?

Nos gustaría que nuestros usuarios añadieran un servicio externo de OpenID Connect, pero actualmente tienen que hacer sus cuentas menos seguras para hacerlo.

Bueno, la razón es que tus cuentas asociadas también pueden verse comprometidas, y hasta donde sé, las cuentas asociadas omiten la restricción de 2FA en las cuentas del foro. Es por eso que 2FA suprime las cuentas asociadas. Las cuentas asociadas pueden verse comprometidas, especialmente sin 2FA, lo que permite a los malos actores iniciar sesión también en tu cuenta del foro.

Sin embargo, hay una configuración del sitio que puedes modificar para evitar que las cuentas 2FA supriman los inicios de sesión de cuentas asociadas. Se llama Forzar segundo factor en autenticación externa, desmarca la configuración. A menos que tu autenticación externa exija 2FA y sea segura, no recomiendo desactivar esta configuración.

La imagen describe las características relacionadas con Forzar segundo factor en autenticación externa, describiendo dos funcionalidades: omitir inicios de sesión sin TFA cuando se fuerza TFA y garantizar la confirmación de autenticación de doble factor cuando la configuración está desactivada. (Subtitulado por IA)625×162 7.37 KB

Si deseas que las personas inicien sesión únicamente a través de tu servicio OpenID Connect, puedes desactivar la configuración del sitio Habilitar inicios de sesión locales. Ten en cuenta la advertencia que indica ADVERTENCIA: si se desactiva, es posible que no puedas iniciar sesión si no has configurado previamente al menos un método de inicio de sesión alternativo.

imagen657×106 4.13 KB