Paketmanager NuGet verabschiedet sich langsam vom Passwort
Ab Anfang März müssen neue Accounts Zwei-Faktor-Authentifizierung einsetzen, und künftig sollen ohne 2FA erstellte API-Keys ungültig werden.
(Bild: TMvectorart/Shutterstock.com)
Der Paketmanager NuGet setzt künftig auf obligatorische Zwei-Faktor-Authentifizierung (2FA). Der Abschied von der passwortbasierten Anmeldung erfolgt Anfang März zunächst für neue und bald darauf für bestehende Accounts. API-Keys, die ohne 2FA erstellt wurden, laufen ebenfalls mittelfristig ab.
Die Betreiber reagieren damit auf die wachsende Zahl von Attacken auf diverse Paketmanager, zu denen neben dem auf .NET ausgerichteten NuGet auch npm für JavaScript- oder PyPI für Python-Pakete gehören. Kompromittierte Pakete gehören zu den klassischen Angriffsvektoren auf die Software Supply Chain.
Ruf mich nicht an!
Laut dem Developer-Blog von Microsoft setzen bereits viele der aktivsten Entwicklerinnen und Entwickler von NuGet-Paketen auf 2FA – laut Beitrag 83 Prozent. Bei der Vorbereitung gab es im Team wohl Bedenken, dass die Angabe einer Telefonnummer zum Aktivieren der Zwei-Faktor-Authentifizierung ein Hemmschuh sein könne.
Daher setzt der Betreiber für die Authentifizierung zu einer engen Verbindung zum weiteren Microsoft-Ökosystem. Die Anmeldung erfolgt über einen Microsoft Account oder alternativ über ein Arbeits- oder Schulkonto.
Fahrplan ab März
Für neue NuGet-Konten ist die Zwei-Faktor-Authentifizierung ab 8. März verpflichtend. Bestehende Accounts sollen wohl bis Mitte Mai nach und nach ebenfalls auf 2FA umgestellt werden. API-Keys sind zunächst nicht betroffen, aber NuGet plant, künftig alle nicht mit 2FA generierten Schlüssel auslaufen zu lassen. Die Betreiber wollen die verantwortlichen Developer jeweils mit 30 Tagen Vorlauf informieren.
Weitere Details lassen sich dem Microsoft-Developer-Blog entnehmen.
(rme)
