RubyGems переходит на обязательную двухфакторную аутентификацию для популярных пакетов

14.06.2022 12:06

Для защиты от атак по захвату учётных записей, нацеленных на получение контроля над зависимостями, репозиторий пакетов RubyGems объявил о переходе к применению обязательной двухфакторой аутентификации для учётных записей сопровождающих 100 наиболее популярных пакетов (по числу загрузок), а также пакетов число загрузок которых превышает 165 млн.

Применение двухфакторной аутентификации существенно усложнит получение доступа в случае компрометации учётных данных разработчика, например, при повторном использовании пароля на скомпрометированном сайте, применении предсказуемых паролей или перехвате учётных данных в результате активности вредоносного ПО на системе разработчика. В качестве второй проверки предлагается использовать одноразовые пароли (TOTP), генерируемые такими приложениями, как Authy, Google Authenticator и FreeOTP. На будущее запланирована поддержка аутентификации при помощи аппаратных ключей, поддерживающих протокол WebAuth.

На первом этапе при использовании утилит командной строки или сайта rubygems.org сопровождающим популярные пакеты будет выводиться предупреждение о необходимости включения двухфакторной аутентификации. 15 августа рекомендация сменится обязательным требованием включения двухфакторной аутентификации, без которой не будет предоставляться доступ. За месяц и за неделю до включения обязательной двухфакторной аутентификацию сопровождающим также будут направлены уведомления по электронной почте.

В 4 квартале 2022 года планируется расширить требование к применению двухфакторной аутентификации и для других категорий пользователей RubyGems (критерии пока не утверждены, вероятно, как в случае с NPM, охват будет расширен до 500 наиболее популярных пакетов).

исправить +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/57352-rubygems

Ключевые слова: rubygems

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (45)

1.1, Аноним (1), 12:12, 14/06/2022 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Зря. Суют везде эту двухфакторку, зачем? Пароль из 64 символов никто не сломает, нет, надо ещё фактор второй.

2.2, Аноним (2), 12:17, 14/06/2022 [^] [^^] [^^^] [ответить]	+2 +/–
Это нужно, чтобы упростить несанкционированный доступ. Пароль не всегда есть возможность угнать, а вот смску, дающую полный и абсолютный контроль над аккаунтом, перехватить, при некоторой необходимости, легко.

3.3, Аноним (1), 12:18, 14/06/2022 [^] [^^] [^^^] [ответить]	+/–
Ну в нормальной системе без второго фактора она бесполезна

4.4, Аноним (2), 12:22, 14/06/2022 [^] [^^] [^^^] [ответить]	+/–
Я видел только такие применения. Да, смс используется для подтверждения операций, но кроме того позволяет завладеть аккаунтом с минимумом усилий.

5.7, Аноним (1), 12:39, 14/06/2022 [^] [^^] [^^^] [ответить]	+3 +/–
Пластиковый мир победил...

5.47, MadeInRussia (ok), 22:33, 15/06/2022 [^] [^^] [^^^] [ответить]	+/–
Вы издеваетесь, надеюсь? Смысл двухфакторности в ДВУХ факторах. Вам нужны И пароль, И SMS для доступа к аккаунту. То, о чем вы говорите, дырявое восстановление пароля или однофакторный быстрый доступ по OTP, которые никакого отношения к двухфакторности не имеет.

6.48, Аноним (2), 22:41, 15/06/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Нет, серьёзно. 2 фактор в формате дырявой сотовой сети считается абсолютно надёжным и вообще не совсем понятно зачем тогда какие-то пароли существуют. Речь далеко не только о банках, хотя тот же сбер привязал на мой номер чужую карту совершенно без моего участия (и владелец счёта не замечал этого несколько лет, достал спамить). Что уж говорить о том, что через месяц неактивности номер может уйти рандомному челику. Бредовенькая ситуация.

3.10, Аноним (10), 13:50, 14/06/2022 [^] [^^] [^^^] [ответить]	+/–
Ох уж эти тупые банки, гуслуги, хрюуденсы.. все на смски ставят.

4.24, Бывалый смузихлёб (?), 15:59, 14/06/2022 [^] [^^] [^^^] [ответить]	+/–
В сурьёзных делах без хорошей ЭПЦ всё равно никуда и никакие госуслуги не помогут..

4.46, Аноним (-), 15:49, 15/06/2022 [^] [^^] [^^^] [ответить]	+/–
> все на смски ставят что поделаешь, подпись могут подделать, пароль подобрать, а вот телефон никто не украдет и не отключит за долги - безопасно!

3.22, Массоны Рептилоиды (?), 15:45, 14/06/2022 [^] [^^] [^^^] [ответить]	+/–
Мне вот интересно, почему многие на словосечатание "двухфакторная аутентификация" сразу начинают писать про смски?

4.27, Аноним (-), 17:24, 14/06/2022 [^] [^^] [^^^] [ответить]	+/–
почему многие "безопасники" в кавычках словосечатание "двухфакторная аутентификация" используют вместо "2-этапной"?

5.28, Массоны Рептилоиды (?), 18:05, 14/06/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Вопрос к "безопасникам". Вот как раз в случае с смс - имеем чистую двухэтапную.

6.39, Аноним (-), 08:56, 15/06/2022 [^] [^^] [^^^] [ответить]	+/–
1-ый фактор - знание логин-пароль, 2-ой - наличие телефона с номером. При этом логин-пароль идет по одному каналу, временный пароль на телефон - по другому каналу. То что TOTP множит эти два фактора на ноль, так как временные пароли генерируются по начальному секрету (нужен только один фактор - знание этого секрета), это просто к сведению.

3.37, Kuromi (ok), 23:38, 14/06/2022 [^] [^^] [^^^] [ответить]	+/–
Опять вы со своими СМСками! Вам похоже русска банковская специфика навязывать всем исключительно СМСки извратило восприятие, т.к. даже по ссылке в статье сказано "MFA in the form of TOTPs (Time-Based One-Time Passwords) is currently implemented in Rubygems." WebAuthn пока нет, его поддержка только в разработке, на текущий момент будет простой TOTP. Никаких СМС не будет вовсе.

2.5, Аноним (5), 12:25, 14/06/2022 [^] [^^] [^^^] [ответить]	+1 +/–
И как много взломов осуществляется посредством подбора паролей?

2.11, Аноним (11), 14:02, 14/06/2022 [^] [^^] [^^^] [ответить]	+/–
Пароль из 64 символов ты где хранить, в голове, в текстовом файле на компе, в браузере?

3.14, X86 (ok), 14:16, 14/06/2022 [^] [^^] [^^^] [ответить]	+3 +/–
В браузере, а на браузер пароль qwErTy12345, чтобы точно не забыть

4.25, Аноним (25), 16:03, 14/06/2022 [^] [^^] [^^^] [ответить]	+1 +/–
ты сейчсас описал принцип работы любого менеджера паролей.

2.13, X86 (ok), 14:15, 14/06/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Пароли из 64 символов довольно часто появляются в словарях паролей)

3.17, Аноним (17), 15:04, 14/06/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Эти пароли сливают сами сайты, куда ты ходишь.

4.49, X86 (ok), 09:10, 16/06/2022 [^] [^^] [^^^] [ответить]	+/–
> Эти пароли сливают сами сайты, куда ты ходишь. у меня такой лайфхак: например, пароль для опеннет типа такого: b4pAg(opennet)Llc1%DIm

2.16, YetAnotherOnanym (ok), 14:31, 14/06/2022 [^] [^^] [^^^] [ответить]	+1 +/–
> Пароль из 64 символов никто не сломает А зачем его ломать? Покопался в логах Трависа - и вот он, на блюдечке с голубой каёмочкой.

3.30, Аноним (30), 19:04, 14/06/2022 [^] [^^] [^^^] [ответить]	+/–
А знакомый чекист поможет достать и смсочку с нужного телефона.

3.31, Анноооннннииииимммммм (?), 19:18, 14/06/2022 [^] [^^] [^^^] [ответить]	+/–
Так не кладите пароли в Травис

4.42, Вы забыли заполнить поле Name (?), 13:39, 15/06/2022 [^] [^^] [^^^] [ответить]	+/–
А что так можно было?

5.43, Аноним (1), 14:07, 15/06/2022 [^] [^^] [^^^] [ответить]	+/–
Да. Я разрешаю тебе, своей высокоанонимной всемилостивостью

2.34, KaE (ok), 19:43, 14/06/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Даешь на каждый пакет по SMS подтверждению и плюс на зависимости тоже!

2.44, Аноним (44), 14:09, 15/06/2022 [^] [^^] [^^^] [ответить]	+/–
> Пароль из 64 символов никто не сломает Ломать никто и не собирался, кейлогером украдут.

1.6, Аноним (6), 12:35, 14/06/2022 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Пароль это небезопасно. Давайте сделаем два пароля!

2.9, Аноним (9), 13:22, 14/06/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Голосую за биометрию и личный сертификат от Гейтса!

3.12, ыы (?), 14:11, 14/06/2022 [^] [^^] [^^^] [ответить]	+/–
Вам сертификат с вибратором? пупырышкам?

4.18, Аноним (17), 15:06, 14/06/2022 [^] [^^] [^^^] [ответить]	+/–
Подруга, мне надо "Ландыш 6S".

5.26, Бывалый смузихлёб (?), 16:08, 14/06/2022 [^] [^^] [^^^] [ответить]	+/–
фи какой сексизм. Мистер гейтс, на пару со всем прогрессивным человечеством, против этого. Поэтому, либо с вибратором, либо - с пупырышками [тем более что ландыши разобрали в первую очередь а за-за транспортных проблем и разборок с китаем, новой партии может и уже не быть]

5.32, Аноним (30), 19:28, 14/06/2022 [^] [^^] [^^^] [ответить]	+/–
> "Ландыш 6S" шо это за xpeнь и почему ты о ней знаешь?

3.21, Аноним (21), 15:22, 14/06/2022 [^] [^^] [^^^] [ответить]	+/–
Знаем эти сертификаты от гейтса... ими сейчас можно всё что угодно подписать для запуска под secure boot

3.29, Аноним (11), 18:42, 14/06/2022 [^] [^^] [^^^] [ответить]	+/–
Ничё скоро пароли вообще отменят, будешь по биометрии ходить.

4.33, Аноним (17), 19:42, 14/06/2022 [^] [^^] [^^^] [ответить]	+/–
Ага... Надо будет встать перед вебкамерой, показать свой паспорт, поднять руку и торжественно поклясться в верности той стране, где этот рубигейс стоит.

5.40, Аноним (40), 09:14, 15/06/2022 [^] [^^] [^^^] [ответить]	+/–
И плюнуть, ой, сдать биоматериал

6.50, X86 (ok), 14:49, 16/06/2022 [^] [^^] [^^^] [ответить]	+/–
> И плюнуть, ой, сдать биоматериал биоматериал уже собрали те самые лаборатории вна

1.8, Аноним (8), 12:40, 14/06/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
как в таком случае через ci обновлять пакеты?

1.15, Аноним (15), 14:20, 14/06/2022 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Их Micro$oft тоже купил?

2.35, Аноним (17), 19:45, 14/06/2022 [^] [^^] [^^^] [ответить]	+/–
Пока что покусал только.

1.36, Аноним (36), 19:52, 14/06/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
и вот ваши лефтпады больше вам не принадлежат я уверен, что этот топ500 еще ни удалить, ни вытереть будет нельзя

2.38, Аноним (38), 00:35, 15/06/2022 [^] [^^] [^^^] [ответить]	+/–
У себя можешь удалять, никто не запрещает. А какой опенсорс у меня на серверах хранится не твоя забота.

1.41, InuYasha (??), 11:24, 15/06/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Можно я буду исползовать осторожность как второй фактор? (хотя этим хламом и не пользуюсь)

игнорирование участников | лог модерирования

Добавить комментарий

Текст: