קולין תיירי
מנהל חבילות שפת התכנות Ruby RubyGems נקט בצעדים לחייב אימות רב-גורמי (MFA) על מנת לאבטח את החשבונות של מנהלי פרויקטים פופולריים (אבני חן).
"היום, נתחיל לאכוף MFA על בעלים של אבני חן עם למעלה מ-180 מיליון הורדות בסך הכל", קראו את ג'ני שן הודעה בבלוג RubyGems ביום שני. "משתמשים בקטגוריה זו שאין להם MFA מופעל ברמת ממשק המשתמש וה-API או ממשק המשתמש ו'כניסה אבן חן' לא יוכלו לערוך את הפרופיל שלהם באינטרנט, לבצע פעולות מורשות (כלומר לדחוף ולמשוך אבני חן, או להוסיף ולהסיר בעלי אבני חן), או היכנס בשורת הפקודה עד שהם מגדירים את MFA."
בעוד שמדיניות חדשה זו חלה בעיקר על בעלי אבני חן עם יותר מ-180 מיליון הורדות, מתחזקים עם בין 165 מיליון ל-180 מיליון הורדות יקבלו המלצות גם דרך ממשק שורת הפקודה (CLI) וממשק המשתמש (UI).
החלטה זו באה כאמצעי אבטחה נוסף נגד השתלטות על חשבון, שהיא אחת הצורות הנפוצות והמסוכנות ביותר של התקפות שרשרת אספקת התוכנה. השתלטות על חשבון, במיוחד אחד פופולרי מאוד, מאפשרת לשחקני איומים להפיץ בקלות תוכנות זדוניות.
דיוג, הנדסה חברתית, וניהול אישורים לא תקין (סיסמאות חלשות, שימוש באותה סיסמה למספר חשבונות) מאפשרים להתרחש התקפות השתלטות על חשבון. MFA חובה עשוי להיות אמצעי אבטחה נוסף הכרחי נגד התקפות אלה, כתוצאה מכך.
"מדיניות זו תביא אותנו בקנה אחד עם המדיניות שנעשתה על ידי מערכות אקולוגיות אחרות של חבילות", אמר שן. "בנוסף, אנחנו גם עובדים כעת על הוספת תמיכה עבור WebAuthn. מנהלי התחזוקה יוכלו להשתמש באסימוני חומרה, מפתחות ביומטריים ומכשירים אחרים הנתמכים ב-WebAuthn כמכשיר מרובה גורמים לבחירה."
