こんにちは、hachi8833です。RubyKaigi 2019で重要なお知らせが2回行われましたので、TechRacho記事でも手順を含めて改めて周知いたします。
重要なお知らせ: rubygems.orgアカウントに必ず多要素認証を設定してください
RubyKaigi 2019スライドより
- RubyGems.orgのアカウントに対して、脆弱なパスワードリストを用いた攻撃が行われています
- 攻撃防止のため、必ず多要素認証(MFA: Multi-Factor Authentication)を設定してください
- 対象:
- RubyGems.orgアカウントをお持ちの方
- RubyGems.orgで今後アカウントを作成する方
- 対象:
- 実際にbootstrap-sass gemへの攻撃が行われました(詳しくは以下の記事↓で報じています)
セキュリティ: 3月26日のbootstrap-sass gem 3.2.0.3に危険なコードが含まれていた(影響を受けるサイトは少ない可能性)
補足: APIやCDと多要素認証
APIキー認証やCD(Continuous Deployment: 継続的デプロイメント)などの都合で多要素認証を設定できない場合は、次善の策として、他で使いまわしていない強力なパスワードに変更してください。
https://t.co/NtPNMg69s7 のMFA設定後にrake releaseできなくてハマってたんだけどすぐ近くに @hsbt さんがいてむっちゃ助かったw (進まなくなったらOTPコードを入力すればいいとのこと) #RubyKaigi #fukuokarb pic.twitter.com/76lgwdzAzA
— sue445 (@sue445) April 21, 2019
参考: 多要素認証 - Wikipedia -- 2要素認証や2段階認証も多要素認証の一種です
多要素認証の設定方法
多要素認証を設定するにはパソコンの他に以下が必要です。
- スマートフォン
- スマホにAuthenticator用のアプリをインストール・設定しておくこと
- 私はGoogleのAuthenticatorを使いましたが、他のアプリも使えるはずです
- アプリの名前はAuthenticatorとは限りません
参考: 2段階認証アプリGoogle AuthenticatorとAuthyの使い方と違いを比較 - Coin7 仮想通貨ニュースメディア
参考: Microsoft Authenticator アプリの使い方
参考: 2段階認証アプリ IIJ SmartKey のインストール設定&Webでの認証例 | ムービットのブログ
1. rubygems.orgにアクセスしてログインし、右上メニューで自分のユーザー名をクリックし、「Edit Profile」をクリックする
2. プロファイル画面を下にスクロールし、「Register a new device」をクリック
3. 表示されたQRコードをスマホのカメラで撮影し、スマホのAuthenticatorにRubyGems.orgを登録する
QRコードがスマホ側で認識されれば、登録は自動で行われます。
スマホに登録されたら、Authenticatorのワンタイムパスワード(OTP: 6桁の数値)を上の「OTP Code」に入力することで有効化されます。
5. 表示されたリカバリーコードを安全な場所に保存する
私はパスワード管理ツールに保存しました。
6. RubyGems.orgからログアウトして再度ログインし、多要素認証が正常に動作することを確認
以上で多要素認証の設定は完了です。