Для защиты от  атак по захвату контроля над зависимостями репозиторицй пакетов  RubyGems объявил о переходе к применению обязательной двухфакторой аутентификации для учётных записей сопровождающих 100 наиболее популярных (по числу загрузок) пакетов, а также пакетов число загрузок которых превышает 165 млн...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=57352

• RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 12:12 , 14-Июн-22
  • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 12:17 , 14-Июн-22
    • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 12:18 , 14-Июн-22
      • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 12:22 , 14-Июн-22
        • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 12:39 , 14-Июн-22
        • RubyGems переходит на обязательную двухфакторную аутентифика...,MadeInRussia, 22:33 , 15-Июн-22
          • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 22:41 , 15-Июн-22
    • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 13:50 , 14-Июн-22
      • RubyGems переходит на обязательную двухфакторную аутентифика...,Бывалый смузихлёб, 15:59 , 14-Июн-22
      • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 15:49 , 15-Июн-22
    • RubyGems переходит на обязательную двухфакторную аутентифика...,Массоны Рептилоиды, 15:45 , 14-Июн-22
      • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 17:24 , 14-Июн-22
        • RubyGems переходит на обязательную двухфакторную аутентифика...,Массоны Рептилоиды, 18:05 , 14-Июн-22
          • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 08:56 , 15-Июн-22
    • RubyGems переходит на обязательную двухфакторную аутентифика...,Kuromi, 23:38 , 14-Июн-22
  • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 12:25 , 14-Июн-22
  • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 14:02 , 14-Июн-22
    • RubyGems переходит на обязательную двухфакторную аутентифика...,X86, 14:16 , 14-Июн-22
      • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 16:03 , 14-Июн-22
  • RubyGems переходит на обязательную двухфакторную аутентифика...,X86, 14:15 , 14-Июн-22
    • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 15:04 , 14-Июн-22
      • RubyGems переходит на обязательную двухфакторную аутентифика...,X86, 09:10 , 16-Июн-22
  • RubyGems переходит на обязательную двухфакторную аутентифика...,YetAnotherOnanym, 14:31 , 14-Июн-22
    • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 19:04 , 14-Июн-22
    • RubyGems переходит на обязательную двухфакторную аутентифика...,Анноооннннииииимммммм, 19:18 , 14-Июн-22
      • RubyGems переходит на обязательную двухфакторную аутентифика...,Вы забыли заполнить поле Name, 13:39 , 15-Июн-22
        • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 14:07 , 15-Июн-22
  • RubyGems переходит на обязательную двухфакторную аутентифика...,KaE, 19:43 , 14-Июн-22
  • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 14:09 , 15-Июн-22
• RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 12:35 , 14-Июн-22
  • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 13:22 , 14-Июн-22
    • RubyGems переходит на обязательную двухфакторную аутентифика...,ыы, 14:11 , 14-Июн-22
      • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 15:06 , 14-Июн-22
        • RubyGems переходит на обязательную двухфакторную аутентифика...,Бывалый смузихлёб, 16:08 , 14-Июн-22
        • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 19:28 , 14-Июн-22
    • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 15:22 , 14-Июн-22
    • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 18:42 , 14-Июн-22
      • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 19:42 , 14-Июн-22
        • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 09:14 , 15-Июн-22
          • RubyGems переходит на обязательную двухфакторную аутентифика...,X86, 14:49 , 16-Июн-22
• RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 12:40 , 14-Июн-22
• RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 14:20 , 14-Июн-22
  • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 19:45 , 14-Июн-22
• RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 19:52 , 14-Июн-22
  • RubyGems переходит на обязательную двухфакторную аутентифика...,Аноним, 00:35 , 15-Июн-22
• RubyGems переходит на обязательную двухфакторную аутентифика...,InuYasha, 11:24 , 15-Июн-22

Зря. Суют везде эту двухфакторку, зачем? Пароль из 64 символов никто не сломает, нет, надо ещё фактор второй.

Это нужно, чтобы упростить несанкционированный доступ. Пароль не всегда есть возможность угнать, а вот смску, дающую полный и абсолютный контроль над аккаунтом, перехватить, при некоторой необходимости, легко.

Ну в нормальной системе без второго фактора она бесполезна

Я видел только такие применения. Да, смс используется для подтверждения операций, но кроме того позволяет завладеть аккаунтом с минимумом усилий.

Пластиковый мир победил...

Вы издеваетесь, надеюсь? Смысл двухфакторности в ДВУХ факторах. Вам нужны И пароль, И SMS для доступа к аккаунту.

То, о чем вы говорите, дырявое восстановление пароля или однофакторный быстрый доступ по OTP, которые никакого отношения к двухфакторности не имеет.

Нет, серьёзно. 2 фактор в формате дырявой сотовой сети считается абсолютно надёжным и вообще не совсем понятно зачем тогда какие-то пароли существуют. Речь далеко не только о банках, хотя тот же сбер привязал на мой номер чужую карту совершенно без моего участия (и владелец счёта не замечал этого несколько лет, достал спамить). Что уж говорить о том, что через месяц неактивности номер может уйти рандомному челику. Бредовенькая ситуация.

Ох уж эти тупые банки, гуслуги, хрюуденсы.. все на смски ставят.

В сурьёзных делах без хорошей ЭПЦ всё равно никуда и никакие госуслуги не помогут..

> все на смски ставят

что поделаешь, подпись могут подделать, пароль подобрать, а вот телефон никто не украдет и не отключит за долги - безопасно!

Мне вот интересно, почему многие на словосечатание "двухфакторная аутентификация" сразу начинают писать про смски?

почему многие "безопасники" в кавычках словосечатание "двухфакторная аутентификация" используют вместо "2-этапной"?

Вопрос к "безопасникам".
Вот как раз в случае с смс - имеем чистую двухэтапную.

1-ый фактор - знание логин-пароль,
2-ой - наличие телефона с номером.
При этом логин-пароль идет по одному каналу, временный пароль на телефон - по другому каналу.

То что TOTP множит эти два фактора на ноль, так как временные пароли генерируются по начальному секрету (нужен только один фактор - знание этого секрета), это просто к сведению.

Опять вы со своими СМСками! Вам похоже русска банковская специфика навязывать всем исключительно СМСки извратило восприятие, т.к. даже по ссылке в статье сказано "MFA in the form of TOTPs (Time-Based One-Time Passwords) is currently implemented in Rubygems."
WebAuthn пока нет, его поддержка только в разработке, на текущий момент будет простой TOTP. Никаких СМС не будет вовсе.

И как много взломов осуществляется посредством подбора паролей?

Пароль из 64 символов ты где хранить, в голове, в текстовом файле на компе, в браузере?

В браузере, а на браузер пароль qwErTy12345, чтобы точно не забыть

ты сейчсас описал принцип работы любого менеджера паролей.

Пароли из 64 символов довольно часто появляются в словарях паролей)

Эти пароли сливают сами сайты, куда ты ходишь.

> Эти пароли сливают сами сайты, куда ты ходишь.

у меня такой лайфхак: например, пароль для опеннет типа такого: b4pAg(opennet)Llc1%DIm

> Пароль из 64 символов никто не сломает

А зачем его ломать? Покопался в логах Трависа - и вот он, на блюдечке с голубой каёмочкой.

А знакомый чекист поможет достать и смсочку с нужного телефона.

Так не кладите пароли в Травис

А что так можно было?

Да. Я разрешаю тебе, своей высокоанонимной всемилостивостью

Даешь на каждый пакет по SMS подтверждению и плюс на зависимости тоже!

> Пароль из 64 символов никто не сломает

Ломать никто и не собирался, кейлогером украдут.

Пароль это небезопасно. Давайте сделаем два пароля!

Голосую за биометрию и личный сертификат от Гейтса!

Вам сертификат с вибратором? пупырышкам?

Подруга, мне надо "Ландыш 6S".

фи какой сексизм. Мистер гейтс, на пару со всем прогрессивным человечеством, против этого.
Поэтому, либо с вибратором, либо - с пупырышками [тем более что ландыши разобрали в первую очередь а за-за транспортных проблем и разборок с китаем, новой партии может и уже не быть]

> "Ландыш 6S"

шо это за xpeнь и почему ты о ней знаешь?

Знаем эти сертификаты от гейтса... ими сейчас можно всё что угодно подписать для запуска под secure boot

Ничё скоро пароли вообще отменят, будешь по биометрии ходить.

Ага... Надо будет встать перед вебкамерой, показать свой паспорт, поднять руку и торжественно поклясться в верности той стране, где этот рубигейс стоит.

И плюнуть, ой, сдать биоматериал

> И плюнуть, ой, сдать биоматериал

биоматериал уже собрали те самые лаборатории вна

как в таком случае через ci обновлять пакеты?

Их Micro$oft тоже купил?

Пока что покусал только.

и вот ваши лефтпады больше вам не принадлежат
я уверен, что этот топ500 еще ни удалить, ни вытереть будет нельзя

У себя можешь удалять, никто не запрещает. А какой опенсорс у меня на серверах хранится не твоя забота.

Можно я буду исползовать осторожность как второй фактор? (хотя этим хламом и не пользуюсь)