کالین تیری
مدیر بسته زبان برنامه نویسی Ruby RubyGems اقداماتی را برای احراز هویت چند عاملی (MFA) انجام داده است تا از حساب های نگهبانان پروژه های محبوب (gems) محافظت کند.
جنی شن میگوید: «امروز، ما اجرای MFA را برای دارندگان سنگهای قیمتی با بیش از 180 میلیون بارگیری آغاز خواهیم کرد. خبر در وبلاگ RubyGems در روز دوشنبه. «کاربران این دسته که MFA را در UI و API یا UI و سطح «gem signin» فعال ندارند، نمیتوانند نمایه خود را در وب ویرایش کنند، اقدامات ممتازی انجام دهند (یعنی فشار دادن و حذف سنگهای قیمتی، یا افزودن و حذف صاحبان سنگهای قیمتی)، یا در خط فرمان وارد شوید تا زمانی که MFA را پیکربندی کنند."
در حالی که این خطمشی جدید عمدتاً برای دارندگان جواهر با بیش از 180 میلیون بارگیری اعمال میشود، نگهداریکنندگانی که بین 165 تا 180 میلیون دانلود دارند نیز توصیههایی را از طریق رابط خط فرمان (CLI) و رابط کاربری (UI) دریافت خواهند کرد.
این تصمیم به عنوان یک اقدام امنیتی اضافی در برابر تصاحب حسابها، که یکی از رایجترین و خطرناکترین اشکال حملات زنجیره تامین نرمافزار است، اتخاذ شد. در اختیار گرفتن یک حساب کاربری، به خصوص یک حساب بسیار محبوب، به عوامل تهدید اجازه می دهد تا به راحتی بدافزار را توزیع کنند.
فیشینگ, مهندسی اجتماعیو مدیریت نامناسب اعتبار (گذرواژه های ضعیف، استفاده از رمز عبور یکسان برای چندین حساب) امکان وقوع حملات تصاحب حساب را فراهم می کند. در نتیجه، MFA اجباری ممکن است یک اقدام امنیتی اضافی لازم در برابر این حملات باشد.
شن گفت: «این سیاست ما را با سیاستهای اتخاذ شده توسط سایر اکوسیستمهای بسته هماهنگ میکند. علاوه بر این، ما در حال حاضر در حال کار بر روی افزودن پشتیبانی برای WebAuthn هستیم. نگهدارندهها میتوانند از نشانههای سختافزاری، کلیدهای بیومتریک و سایر دستگاههای پشتیبانیشده توسط WebAuthn بهعنوان دستگاه انتخابی چندعاملی خود استفاده کنند.»
