Ruby 编程语言的官方软件包管理器已经宣布，它已经开始在至少前100名的 RubyGems 软件包上强制使用双重身份验证(MFA)。

该公司周一宣布，将开始对总下载量超过1.8亿的宝石所有者实施 MFA。

RubyGems 在一篇博客文章中解释道: “这个类别的用户如果在 UI 和 API 或者 UI 和 gem 登录级别上没有启用 MFA，那么他们将无法在网络上编辑他们的个人资料，执行特权操作[ ... ]或者在命令行上登录，直到他们配置了 MFA。”。

此外，软件包管理员还说，所有总下载量超过1.65亿的 gems 维护者将继续收到关于 MFA 的推荐提醒。一旦 gem 的总下载量达到1.8亿次，就需要 MFA 了。

RubyGems 指的是 NPM 和 PyPI，他说: “这项政策将使我们与其他软件包生态系统所制定的政策保持一致。”。对于上下文，NPM 在2月份实现了强制性的 MFA，而 PyPI 在上个月紧随其后。

至于 RubyGems，软件包管理器在6月份首次提出了通过 MFA 使流行的 Ruby 软件包更加安全的想法，特别是为了防止帐户被收购，最近这种收购大量涌现。

两个月后，RubyGems 现在将 MFA 强制用于流行软件包，但该公司表示，未来打算将该功能扩展到更多软件包。

“我们计划增加 RubyGems 的 MFA 采用率。如果您对未来如何推出有想法，请加入我们的 RFC 知识库中的讨论,”RubyGems 写道。

托管服务还证实，它正在努力增加对 WebAuthn 的支持，WebAuthn 是一个 FIDO2项目组件和网络标准，旨在标准化基于网络的应用程序的认证。

RubyGems 补充说: “维护人员可以使用硬件令牌、生物密钥和其他支持 WebAuthn 的设备作为他们的多因素设备选择。”。

想了解更多关于 mFA 及其应用程序的信息，可以查看 Yubico 首席解决方案工程师尼克•萨金森(Nic Sarginson)的解释。