虽然我自己给所有支持的账户启用了 TOTP 和 YubiKey ，但是对于这种强制所有用户必须用 2FA 的操作不敢苟同，甚至感觉和国内必须 App 扫码登陆一样恶心。最近微软都在给自家平台推强制 2FA ，不管是 Office 365 还是 GitHub 都开始执行这个政策，让我有很强的「越位代替用户做选择」的感觉。当然或许更多的商业因素——为了完成「 Microsoft Authenticator 」这个 App 的推广 KPI 吧。微软在 2FA 上也确实在恶心用户：必须使用 Edge 浏览器或者在 Windows 平台上才能使用 FIDO2 ；必须下载并登录 Microsoft Authenticator App 才能启用「 Passwordless Login 」。

一方面基本上所有的平台，并没有、也不可能全面性的 enforce 。除了某些特别敏感的场景（修改密码、注销账户等）在本质上是 2FA 的，对于日常使用，App Password 和 API Token 的存在相当于「给大门上了两把锁、但是在墙上开了一个只要弯腰就能进去的洞」。App Password 和 API Token 在本质上和「随机性的、不重复使用的密码」没有本质区别，其泄露造成的后果和「在没有启用 2FA 的情况下泄露密码」是等同的。更可怕的是 2FA 给了用户一种虚假的安全感，即使用户有足够的技术知识知道 App Password 和 API Token 能够绕过 2FA ，但是会下意识的忽略这方面的风险。

另外作为一个用户广泛的平台，用户的使用方式和使用设备是非常多样的。不是所有用户都有另一个设备作为 TOTP 设备。我有一些高中生朋友，在 GitHub 上活跃参加开源项目的贡献，但是因为他只有电脑、没有手机，那么强制他的账户开启 2FA 将使他陷入困境。

总之，各个公司支持多样化的 2FA 方式，并提倡用户使用之是喜闻乐见的，同时更应该提倡使用开放性的 2FA 协议（点名批评国内扫码登陆和 Microsoft Authenticator ）；但是我认为对于大众平台强制所有用户开启 2FA 是糟糕的——应当将是否开启 2FA 的选择权交给用户本身。对于 App Password 和 API Token ，企业也应该告知用户「不是开启了 2FA 、就不用担心泄露了」，最好也能够进行更细粒度的权限控制，而不是让一个 App Password 或 API Token 全权代表用户。