博客
返回到博客文章
2023 年 8 月 3 日
使用安全设备提升你的 RubyGems 帐户安全性
作者:Jenny Shen
在 之前的博客文章 中,我们介绍了我们安全功能的最新更新,包括用于安全设备的 CLI 支持以及该功能的未来计划。
我们很高兴地宣布 WebAuthn 已完全集成并且被认为是多因素验证 (MFA) 的首选。当用户注册安全设备时,现在会向他们提供恢复代码并能够配置其 多因素验证级别,而无需启用基于时间的一次性密码 (OTP) MFA。
为什么使用安全设备?
安全设备提供了一层额外的保护,超越了密码。通过利用 WebAuthn 标准(利用公钥密码术),它们有效地降低了与密码相关的攻击的风险。这包括网络钓鱼或凭据填充。
与基于时间的的一次性密码相比,这些设备不仅提供了增强的安全性,还提供了更大的便利性,使其成为认证的首选。
虽然来自认证应用的基于时间的一次性密码可能会被网络钓鱼攻击拦截或操纵,但安全设备消除了对代码输入的需要。由于它们要求安全密钥或用户(对于生物特征设备)在场,因此可以更好地防止网络钓鱼攻击。这消除了与基于代码的认证相关的风险,确保更强大地防御未经授权的攻击。
设置安全设备
你可以在你的 RubyGems.org 帐户设置页面 上注册你的安全密钥和生物特征设备,并遵循有关如何向你的帐户添加新安全设备的说明。若要了解关于安全设备和 RubyGems 中多因素验证支持的更多信息,请参考 指南。
如果你对这个功能有任何反馈、疑问或想法,以及如何让 RubyGems 变得更出色和更安全,请在 Bundler Slack 工作区 中联系我们或打开 GitHub 议题。