Разработчики репозитория Python-пакетов PyPI (Python Package Index) внедрили новую функцию безопасности для защиты пользователей от фишинговых атак. Теперь в случае подключения с устройства или браузера, с которого ранее не производился вход, требуется подтверждение операции по email.
Раньше для входа в систему было достаточно ввести правильный одноразовый код-пароль (TOTP, Time-based One-Time Password). Теперь при входе в систему с устройства или из браузера, которые PyPI не распознаёт, пользователю будет отправлено письмо с подтверждением входа на электронную почту, привязанную к учётной записи. После подтверждения новое устройство будет считаться доверенным для будущих входов в систему. Дополнительное подтверждение по email не потребуется тем, кто использует в качестве второго фактора аутентификации ключи на базе технологий WebAuthn или Passkeys.
По словам разработчиков, этот дополнительный шаг значительно повышает безопасность учётных записей пользователей PyPI, снижая риск фишинга.
«Если вы не пытались войти в PyPI, но получили письмо с подтверждением входа в систему, пожалуйста, не переходите по ссылке. Вместо этого немедленно смените пароль и проверьте свою учётную запись на предмет подозрительной активности», — напомнили разработчики.
Источник: habr.com