Paketmanager RubyGems.org: Multifaktor-Authentifzierung Pflicht für Top-Pakete

Mit der Umstellung auf Multifaktor-Authentifizierung für die Top-Downloads folgt der Ruby-Paketmanger den Vorbildern npm und PyPI.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen

(Bild: Tero Vesalainen/Shutterstock.com)

Von
  • Rainald Menge-Sonnentag

Die Betreiber des Paketmanagers RubyGems.org hat die Umstellung von der passwortbasierten Anmeldung auf Multifaktor-Authentifizierung (MFA) für die Accounts der am meisten genutzten Ruby-Pakete angekündigt. Wer solche Packages anbietet, muss ab sofort eine Authentifizierungs-App für wichtige Änderungen wie das Veröffentlichen oder Entfernen eines Pakets verwenden.

Die Untergrenze für die MFA-Pflicht liegt zum Start bei insgesamt 180 Millionen Downloads. Maintainer von Gems, die mehr als 165 Millionen Downloads zählen, erhalten eine Vorwarnung mit der Empfehlung, MFA rechtzeitig zu aktivieren.

Der Paketverwaltungsdienst will weitere Maßnahmen ergreifen, um MFA auch jenseits der Top-Pakete attraktiv zu machen. Die Diskussion dazu findet in einem Request for Comments (RFC) statt, der als Issue auf GitHub zu finden ist.

(Bild: RubyGems.org)

Derzeit läuft die Authentifizierung über Apps wie Google Authenticator, Authy oder Authenticator Plus, die zeitbasierte Einmalpasswörter (Time-Based One-Time-Passwords, TOTP) erstellen. Das RubyGems.org-Team will künftig weitere MFA-Optionen wie Hardware-Token und biometrische Schlüssel freigeben.

Die Authentifizierung ist nicht für alle, sondern nur die kritischen Aktionen erforderlich. Die privilegierten Operationen sind das Bereitstellen eines Gem mit gem push, das Entfernen eines Pakets mit gem yank und das Ändern der Besitzrechte an einem Gem über die Ownership-Seite oder die Befehle gem owner --add beziehungsweise gem owner --remove.

Die Maßnahme soll Angriffe auf die Supply Chain verhindern, bei denen Schadcode in verbreiteten Paketen landet. MFA oder 2FA (Zwei-Faktor-Authentifizierung) helfen gegen das Kapern von Accounts durch schwache Passwörter oder geleakte Anmeldedaten.

Der Ruby-Paketmanager folgt mit der Maßnahme den Vorbildern der Paketmanager für JavaScript, Python und .NET: npm hatte bereits 2017 2FA als Option eingeführt und verlangt sie seit Anfang Februar für die Top-100-Pakete. Die npm-Mutter GitHub verlangt ab Ende 2023 von allen Nutzerinnen und Nutzern die Absicherung ihrer Accounts über 2FA.

PyPI bietet 2FA seit Mai 2019 an, und seit Juli 2022 gilt sie verpflichtend für das obere Prozent der Downloads und damit für rund 3500 Pakete. Microsoft hat im Februar für den .NET-Paketmanager NuGet eine 2FA-Pflicht zunächst für neue und in Folge für bestehende Accounts angekündigt.

Weitere Details zu den MFA-Maßnahmen lassen sich dem Blogbeitrag bei RubyGems.org entnehmen.

(rme)