Por que 2FA é incompatível com Contas Associadas?

Parece que a 2FA é mutuamente exclusiva com contas associadas:

Por que isso acontece?

Gostaríamos que nossos usuários adicionassem um serviço externo OpenID Connect, mas atualmente eles precisam tornar suas contas menos seguras para fazê-lo.

Bem, o motivo é que suas contas associadas também podem ser comprometidas, e, até onde sei, contas associadas ignoram a restrição de 2FA em contas de fórum. É por isso que o 2FA suprime contas associadas. Contas associadas podem ser comprometidas, especialmente sem 2FA, permitindo que atores mal-intencionados, portanto, também façam login na sua conta de fórum.

No entanto, há uma configuração do site que você pode modificar para impedir que contas com 2FA suprimam logins de contas associadas. Ela se chama Forçar segundo fator em autenticação externa, desmarque a configuração. A menos que sua autenticação externa force 2FA e seja segura, não recomendo desativar esta configuração.

A imagem descreve recursos relacionados a Forçar segundo fator em autenticação externa, delineando duas funcionalidades: ignorar logins sem TFA quando TFA é forçado e garantir a confirmação de autenticação de dois fatores quando a configuração está desativada. (Legenda por IA)625×162 7.37 KB

Se você quiser que as pessoas façam login apenas através do seu serviço OpenID Connect, você pode desativar a configuração do site Habilitar logins locais. Tenha em mente o aviso que afirma AVISO: se desativado, você pode não conseguir fazer login se não tiver configurado previamente pelo menos um método de login alternativo.

imagem657×106 4.13 KB