博客
2022 年 12 月 21 日
推出硬件安全令牌和通行密钥支持
Colby Swandale 著
大家好!
我很高兴地分享两项新功能,这些新功能将进一步保护您账号的安全性——我们支持硬件安全令牌和通行密钥(又名 WebAuthn)。
近年来,流行语言包的作者已成为攻击者的主要目标,目标是发布代码来分发恶意软件。在更严重的情况下,攻击者会特别针对包的作者,以便专门针对攻击某家特定公司。
针对这些新趋势,RubyGems.org 和更广泛的社区都重点投入资金来保障其安全性和政策,以确保账号免受账户劫持攻击。2018 年,RubyGems.org 添加了对 2FA 的支持,允许用户在登录时要求提供一次性密码。我高兴地分享,除了 OTP 外,作者现在还可以通过硬件安全令牌和通行密钥来使用双重身份验证来保护他们的 RubyGems.org 账号。
什么是硬件安全令牌?
硬件安全令牌是一个小型的物理设备,可以插入您的电脑,它持有安全的私钥/公钥。在 RubyGems.org 中注册后,硬件令牌可以用作第二个身份验证步骤,用于验证您的身份。硬件安全令牌的好处在于它们难以复制,并且需要设备实际存在才能登录您的账号,但缺点是它们可能会丢失。我们建议用户在某个安全的地方备用第二个令牌,以便采用硬件安全令牌。
可以从符合U2F 标准的多个供应商那里购买硬件安全令牌。我们推荐以下供应商
什么是通行密钥又名 WebAuthN?
WebAuthn是一个相对较新的标准,它建立在硬件安全令牌 (U2F) 标准之上,不需要单独的物理设备。WebAuthn 最近被称为通行密钥,它允许您使用现有设备注册一个虚拟安全令牌,以便在安全的位置持有公钥/私钥。
通行密钥的优点在于您可以使用它,而无需购买单独的物理设备。它可以在多个设备上同步,这样,即使您弄丢了电脑,也可以轻松恢复它。
Passkey 是一个相对较新的标准,因此目前并非所有设备或浏览器都支持它。请查看您浏览器的文档了解更多信息。
如何注册硬件安全令牌或 Passkey?
您可以在 RubyGems.org 账户设置页面 的“安全设备”下注册您的硬件安全令牌或 Passkey,并按照说明将新的硬件安全令牌或 Passkey 添加到您的账户。
CLI 支持即将推出
要注意的一点是,在登录时,RubyGems CLI 不支持硬件安全令牌或 Passkey,但已开始着手尽快提供支持。您可以通过 Web UI 生成一个 API 密钥并在您的开发环境中使用此密钥来解决此问题。
最后,特别感谢那些参与此功能的制作和测试的人。❤️
Colby