Colin Thierry
Được đăng trên: Tháng Tám 19, 2022
Trình quản lý gói ngôn ngữ lập trình Ruby RubyGems đã thực hiện các bước để bắt buộc xác thực đa yếu tố (MFA) nhằm bảo mật tài khoản của những người bảo trì các dự án phổ biến (đá quý).
“Hôm nay, chúng tôi sẽ bắt đầu thực thi MFA đối với chủ sở hữu đá quý với tổng số hơn 180 triệu lượt tải xuống,” Jenny Shen đọc thông báo trên blog RubyGems vào thứ Hai. “Người dùng trong danh mục này không bật MFA trên giao diện người dùng và API hoặc giao diện người dùng và cấp 'đăng nhập bằng đá quý' sẽ không thể chỉnh sửa hồ sơ của họ trên web, thực hiện các hành động đặc quyền (tức là đẩy và giật đá quý hoặc thêm và xóa chủ sở hữu đá quý) hoặc đăng nhập vào dòng lệnh cho đến khi họ định cấu hình MFA.”
Mặc dù chính sách mới này chủ yếu áp dụng cho chủ sở hữu đá quý có hơn 180 triệu lượt tải xuống, nhưng những người bảo trì có từ 165 triệu đến 180 triệu lượt tải xuống cũng sẽ nhận được đề xuất thông qua giao diện dòng lệnh (CLI) và giao diện người dùng (UI).
Quyết định này được đưa ra như một biện pháp bảo mật bổ sung chống lại việc chiếm đoạt tài khoản, đây là một trong những hình thức tấn công chuỗi cung ứng phần mềm phổ biến và nguy hiểm nhất. Việc chiếm đoạt tài khoản, đặc biệt là tài khoản rất phổ biến, cho phép các tác nhân đe dọa dễ dàng phát tán phần mềm độc hại.
Lừa đảo, kỹ thuật xã hộivà quản lý thông tin xác thực không phù hợp (mật khẩu yếu, sử dụng cùng một mật khẩu cho nhiều tài khoản) cho phép xảy ra các cuộc tấn công chiếm đoạt tài khoản. Do đó, MFA bắt buộc có thể là một biện pháp bảo mật bổ sung cần thiết chống lại các cuộc tấn công này.
Shen cho biết: “Chính sách này sẽ giúp chúng tôi phù hợp với các chính sách do các hệ sinh thái trọn gói khác đưa ra. “Ngoài ra, chúng tôi hiện cũng đang làm việc để thêm hỗ trợ cho WebAuthn. Những người bảo trì sẽ có thể sử dụng mã thông báo phần cứng, khóa sinh trắc học và các thiết bị hỗ trợ WebAuthn khác làm thiết bị đa yếu tố mà họ lựa chọn.”
