1 января 2024 года репозиторий Python-пакетов PyPI (Python Package Index) PyPI перешёл на обязательную двухфакторную аутентификацию (2FA) для всех пользователей проекта в рамках усиления информационной безопасности процесса разработки.
С начала года без включения двухфакторной аутентификации пользователи теперь не смогут загружать файлы и выполнять действия, связанные с управлением своими проектами. Ранее 2FA была принудительно включена в PyPI для учётных записей пользователей, сопровождающих хотя бы один проект или входящих в курирующие пакеты организации.
Согласно пояснению администрации ресурса, применение 2FA позволяет значительно усилить защиту процесса разработки и обезопасить проекты от внесения вредоносных изменений в результате утечки учётных данных, взломов локальной системы разработчика или применения методов социального инжиниринга и помогает избежать ситуации с подстановкой вредоносных изменений в другие продукты и библиотеки, использующие скомпрометированный пакет в качестве зависимости.
В качестве предпочтительного способа 2FA в PyPI предлагается схема на базе совместимых со спецификацией FIDO U2F аппаратных токенов и протокола WebAuthn, которая позволяет добиться более высокого уровня безопасности по сравнению с генерацией одноразовых паролей. Кроме токенов также можно использовать приложения для аутентификации на базе одноразовых паролей, поддерживающих протокол TOTP (Time-based one-time Password), например, Authy, Google Authenticator и FreeOTP. При загрузке пакетов разработчикам дополнительно рекомендовано перейти на использование метода аутентификации Trusted Publishers на базе стандарта OpenID Connect (OIDC) или применять API-токены.
В конце декабря GitHub предупредил всех добавляющих код на платформу разработчиков, что им ограничат функциональность, если они не включат 2FA в своих учётных записях до 19 января 2024 года. После 19 января пользователи, пытающиеся получить доступ к GitHub.com без 2FA, будут автоматически перенаправляться на специальную страницу для завершения настройки.
Источник: habr.com
