RubyGems Mengamanatkan Otentikasi Multi-Faktor untuk Proyek Populer

Diterbitkan: 19 Agustus 2022

Manajer paket bahasa pemrograman Ruby RubyGems telah mengambil langkah-langkah untuk mengamanatkan otentikasi multi-faktor (MFA) untuk mengamankan akun pengelola proyek populer (permata).

“Hari ini, kami akan mulai menerapkan MFA pada pemilik permata dengan total lebih dari 180 juta unduhan,” baca buku Jenny Shen pengumuman di blog RubyGems pada hari Senin. “Pengguna dalam kategori ini yang tidak mengaktifkan MFA di UI dan API atau UI dan tingkat 'masuk permata' tidak akan dapat mengedit profil mereka di web, melakukan tindakan istimewa (yaitu mendorong dan menarik permata, atau menambah dan menghapus pemilik permata), atau masuk pada baris perintah hingga mereka mengonfigurasi MFA.”

Meskipun kebijakan baru ini terutama berlaku untuk pemilik permata dengan lebih dari 180 juta unduhan, pengelola dengan antara 165 juta dan 180 juta unduhan juga akan menerima rekomendasi melalui antarmuka baris perintah (CLI) dan antarmuka pengguna (UI).

Keputusan ini datang sebagai langkah keamanan tambahan terhadap pengambilalihan akun, yang merupakan salah satu bentuk serangan rantai pasokan perangkat lunak yang paling umum dan berbahaya. Mengambil alih sebuah akun, terutama yang sangat populer, memungkinkan pelaku ancaman menyebarkan malware dengan mudah.

phishing, rekayasa sosial, dan pengelolaan kredensial yang tidak tepat (sandi lemah, menggunakan sandi yang sama untuk beberapa akun) memungkinkan terjadinya serangan pengambilalihan akun. MFA wajib mungkin merupakan tindakan keamanan ekstra yang diperlukan terhadap serangan ini, sebagai hasilnya.

“Kebijakan ini akan membawa kita sejalan dengan kebijakan yang dibuat oleh ekosistem paket lainnya,” kata Shen. “Selain itu, kami juga sedang berupaya menambahkan dukungan untuk WebAuthn. Pengelola akan dapat menggunakan token perangkat keras, kunci biometrik, dan perangkat lain yang didukung WebAuthn sebagai perangkat multi-faktor pilihan mereka.”