2FA هي طريقة أمان لإدارة الهوية والوصول تتطلب شكلين من أشكال التعريف.
العام الماضي نشارك الأخبار هنا على المدونة أن مطوري مستودع حزم PyPI كانوا يعملون على نقل PyPI إلى المصادقة الثنائية الإلزامية للحزم الهامة.
وسبب ذكر هذا هو أن تم الانتهاء من النقل بالفعل قبل بضعة أيام ومن خلال إعلان ، أعلن المطورون أيضًا عن قرار نقل جميع حسابات المستخدمين التي تحتفظ بمشروع واحد على الأقل أو جزء من مؤسسة تختار حزمًا للاستخدام الإلزامي للمصادقة الثنائية.
استخدام المصادقة ذات العاملين (المعروف باسم 2FA) هو لأن المستودع برنامج رسمي لـ Python و PyPI و أصبح هدفًا لهجمات عديدة إلى سلسلة التوريد في السنوات الأخيرة ، حيث قام المتسللون في بعض منها باختراق حسابات الصيانة لإدخال تعليمات برمجية ضارة في المشاريع.
عند فرض 2FA لقائمين على صيانة المشروع ، يريد PyPI منع هجمات الاستيلاء على الحساب، مما يؤكد للمجتمع أن الأشخاص المرتبطين بالمشروع فقط هم من يمكنهم تحميل أو تعديل أو إزالة التعليمات البرمجية.
اليوم ، كجزء من هذا الجهد طويل الأمد لحماية نظام Python البيئي ، نعلن أن كل حساب يحتفظ به أي مشروع أو مؤسسة على PyPI سيحتاج إلى تمكين 2FA على حسابهم بحلول نهاية عام 2023.
من الآن وحتى نهاية العام ، ستبدأ PyPI في الوصول إلى بعض ميزات الموقع بناءً على استخدام المصادقة الثنائية (2FA). أيضًا ، يمكننا البدء في اختيار مستخدمين أو مشاريع معينة للتطبيق المبكر.
على هذا النحو استخدام المصادقة الثنائية زيادة حماية عملية التنمية وسيمنع المشروعات من إجراء تغييرات ضارة نتيجة لتسريبات بيانات الاعتماد أو باستخدام نفس كلمة المرور على موقع تم اختراقه أو اختراق النظام المحلي للمطور أو استخدام أساليب الهندسة الاجتماعية.
يعد الوصول من قبل المهاجمين نتيجة لاختراق الحساب أحد أخطر التهديدات ، كما في حالة حدوث هجوم ناجح ، يمكن استبدال التغييرات الضارة بمنتجات ومكتبات أخرى تستخدم الحزمة المخترقة كتبعية.
كطريقة مفضلة للمصادقة ذات العاملين ، تم التصريح عن مخطط قائم على الرمز المميز الأجهزة التي تدعم FIDO U2F وبروتوكول WebAuthn ، والتي يسمح لك بتحقيق مستوى أعلى من الأمان مقارنة بإنشاء كلمات مرور لمرة واحدة.
بالإضافة إلى الرموز المميزة ، يمكنك أيضًا استخدام تطبيقات المصادقة المعتمدة على كلمة المرور لمرة واحدة والتي تدعم بروتوكول TOTP ، مثل Authy و Google Authenticator و FreeOTP. عند تنزيل الحزم ، يتم تشجيع المطورين أيضًا على التبديل إلى طريقة المصادقة "الناشرون الموثوق بهم" استنادًا إلى معيار OpenID Connect (OIDC) أو استخدام الرموز المميزة لواجهة برمجة التطبيقات.
من المحتمل أن يكون لدى العديد من المستخدمين نافذة مدتها ستة أشهر لتطبيق إجراء المصادقة الإضافي على حساباتهم ، مع وضع خطط لجعل المصادقة الثنائية إلزامية بحلول نهاية هذا العام. يوضح منشور المدونة الرسمي من مستودع Python المزيد:
من الآن وحتى نهاية العام ، ستبدأ PyPI في الوصول إلى بعض ميزات الموقع بناءً على استخدام المصادقة الثنائية (2FA). أيضًا ، يمكننا البدء في اختيار مستخدمين أو مشاريع معينة لتطبيق مبكر ".
يجب ذكر ذلك على هذا النحو من المقرر أن يكتمل نقل المستخدم بنهاية عام 2023. قبل الموعد النهائي ، سيكون هناك قيد تدريجي للوظائف المتاحة للمطورين الذين لم يقوموا بتمكين المصادقة الثنائية. بالإضافة إلى ذلك ، بالنسبة لفئات معينة من المستخدمين ، سيتم تطبيق شرط تمكين المصادقة الثنائية مقدمًا.
أخيرًا ، يمكننا القول إن قرار PyPI بجعل المصادقة الثنائية (2FA) إلزاميًا لجميع المستخدمين الذين يحتفظون بمشروع أو مؤسسة على النظام الأساسي هو خطوة في الاتجاه الصحيح لتحسين الأمان.
إذا كنت مهتم بمعرفة المزيد عنها، يمكنك التحقق من التفاصيل في الرابط التالي.