2FA هي طريقة أمان لإدارة الهوية والوصول تتطلب شكلين من أشكال التعريف.
وبعد عام ونصف من العمل وبعض التغييرات التدريجية، أخيرًا تم تقديم المصادقة الإلزامية من خلال المصادقة الثنائية (2FA) بطريقة عامة لجميع المستخدمين في PyPI، منذ منتصف عام 2022، أعلن مطورو مستودع حزم Python PyPI (Python Package Index) عن طريق للانتقال إلى المصادقة الثنائية الإلزامية للحزم المهمة.
بعد عام واحد من الإعلان المذكور (في يونيو 2023) تم تنفيذ المصادقة الإلزامية من عاملين للجميع حسابات المستخدمين التي احتفظوا بها في ذلك الوقت، مشروع واحد على الأقل أو كنت جزءًا من مؤسسة تختار الحزم للاستخدام الإلزامي للمصادقة الثنائية.
Y الآن، تم تطبيق المصادقة الثنائية الإلزامية على جميع أجهزة lمستخدمي نظام التشغيل بشكل عام، لذلك من خلال عدم تمكين المصادقة الثنائية، لن يتمكن المستخدم الآن من تحميل الملفات أو تنفيذ الإجراءات المتعلقة بإدارة مشروعه.
يعد هذا المنشور بمثابة اعتراف بالعمل الشاق الذي تم تحقيقه لجعل هذا الأمر حقيقة وشكرًا لجميع المستخدمين الذين قاموا بتمكين المصادقة الثنائية على حساباتهم.
إنه أيضًا تذكير لأولئك الذين لم يقوموا بتمكين المصادقة الثنائية بعد، بأنك ستحتاج إلى القيام بذلك قبل أن تتمكن من تنفيذ أي إجراءات إدارية أو تحميل الملفات إلى PyPI.
بمجرد تمكين المصادقة الثنائية، ستتمكن من تنفيذ إجراءات الإدارة، بما في ذلك إنشاء الرموز المميزة لواجهة برمجة التطبيقات أو إعداد ناشرين موثوقين (مفضل) لتحميل الملفات.
وكما أشرنا في المقالات السابقة، مطوري المستودعات حزم بايثون PyPI وقد سلط الضوء على أهمية تنفيذ المصادقة الثنائية. تم تقديم هذا الإجراء بهدف تحسين الأمان في عملية التطوير وحماية المشاريع من التغييرات الضارة المحتملة الناجمة عن تسرب بيانات الاعتماد. توفر المصادقة الثنائية طبقة إضافية من الحماية، وتخفيف المخاطر المرتبطة باستخدام كلمات المرور المشتركة، أو ضعف كلمات المرور على المواقع المخترقة، أو الهجمات على النظام المحلي للمطور، أو أساليب الهندسة الاجتماعية.
وتكمن الحاجة إلى تعزيز الأمن في التهديد الكبير المتمثل في الوصول غير المصرح به بسبب الاستيلاء على الحساب. يمثل هذا النوع من الهجمات خطرًا كبيرًا، لأنه في حالة نجاحه، يمكن للمهاجمين إدخال تغييرات ضارة على المنتجات والمكتبات الأخرى التي تعتمد على الحزمة المخترقة. ولذلك، يتم تقديم المصادقة ذات العاملين كإجراء أساسي لحماية النزاهة والثقة في النظام البيئي لتطوير برمجيات بايثون، ومنع العواقب السلبية المحتملة الناجمة عن الوصول غير المصرح به والتغييرات الضارة للمشاريع الهامة.
بالإضافة إلى ذلك، يذكر المطورون أن المصادقة الثنائية المفضلة تعتمد على مخطط يستخدم الرموز المميزة للأجهزة المتوافقة مع مواصفات FIDO U2F وبروتوكول WebAuthn. تتميز هذه الطريقة بتوفير مستوى أعلى من الأمان مقارنةً بإنشاء كلمات مرور لمرة واحدة. توفر الرموز المميزة للأجهزة، المتوافقة مع FIDO U2F وWebAuthn، طبقة إضافية من الحماية، مما يعمل على تحسين الأمان في عملية المصادقة.
بالإضافة إلى الرموز المميزة للأجهزة، هناك خيار لاستخدام تطبيقات المصادقة التي تنشئ كلمات مرور لمرة واحدة وتدعم بروتوكول TOTP (كلمة المرور لمرة واحدة المستندة إلى الوقت). تتضمن أمثلة هذه التطبيقات Authy وGoogle Authenticator وFreeOTP. توفر هذه التطبيقات بديلاً آمنًا آخر للمصادقة الثنائية.
عند تنزيل الحزم، يُنصح المطورون بشدة باستخدام طريقة المصادقة المسماة "الناشرون الموثوقون". تعتمد هذه الطريقة على معيار OpenID Connect (OIDC) أو تستخدم رموز API المميزة. يساعد اختيار هذا الأسلوب على تعزيز الأمان في التفاعلات والمعاملات المتعلقة بتنزيلات الحزم، مما يوفر مستوى إضافيًا من الثقة من خلال مصادقة الناشرين المعنيين.
وأخيرا، إذا كنت مهتمًا بمعرفة المزيد عنها ، يمكنك التحقق من التفاصيل في الرابط التالي.