Redmine 4.2 から MFA が使えるようになっていて、設定画面を調べてみると使う際に強制にするという設定も選べたので利用者には強制にした。
この辺、スマホを持ってないと言う人もいると思うのでどうかなあと悩んだけど、パスワード認証のみは 2021 年にはちょっと許容できないセキュリティ強度というのと、最近の bugs は SPAM アタックが酷くて消耗しているというのもあったので強制することに決めた。結果としては SPAM アカウントの登録は0になっていて効果があった。これはお得。
スマホ持ってない人向けには TOTP の OSS 実装であるとか、ブラウザ拡張などであるのでその辺で頑張るって感じで。ほんと面倒な世の中になって辛い。