Programeri repozitorija PyPI paketa piton obznanio nedavno putem posta putokaz za prelazak na autentifikaciju Obavezan dvofaktor za kritične pakete.
Važnost je određena brojem preuzimanja, a promjena će se primijeniti na račune održavatelja i vlasnika projekata koji su povezani sa 1% najboljih paketa u 6 mjeseci po preuzimanjima.
Za razliku od prelaska na projekte dvofaktorske autentifikacije RubyGems, NPM i GitHub, PyPI će u početku implementirati šemu koja uključuje poželjnu upotrebu hardverskog tokena s pristupnim ključevima.
Kao razlog za preporučena upotreba tokena i WebAuthn protokola, spominje se veća sigurnost u odnosu na generiranje jednokratnih lozinki (mogućnost korištenja TOTP umjesto tokena će biti dostupna kao opcija).
Tokeni se mogu dobiti besplatno, Pa, Google je sponzorirao inicijativu i dodijelio 4000 Titan ključeva za projekat. Svaki održavatelj može zatražiti dva USB-C ili USB-A tokena besplatno. Drugi token se šalje kao rezervna kopija u slučaju da je glavni token pokvaren ili izgubljen, kako bi se minimizirao rizik od gubitka pristupa spremištu i spasili programere od prolaska kroz tešku proceduru oporavka.
Nažalost, tokeni se mogu slati samo na Austrija, Belgija, Kanada, Francuska, Njemačka, Italija, Japan, Španija, Švicarska, Velika Britanija i SAD.
Saputnici iz drugih zemalja mogu kupiti samostalno FIDO U2F kompatibilni tokeni kao što su tokeni Yubikey i Thetis. Kao alternativa, također je moguće koristiti aplikacije za autentifikaciju bazirane na jednokratnoj lozinki koje podržavaju TOTP protokol, kao što su Authy, Google Authenticator i FreeOTP, umjesto tokena.
Inicijativa nije prošla bez incidenata., dobro autor Atomicwrites paketa, koji ima 6 miliona preuzimanja mesečno i 38 miliona za 6 meseci, nije želio prijeći na autentifikaciju dvofaktorski i pokušao resetirati brojač preuzimanja da isključite svoj paket sa kritične liste.
Za ponovno pokretanje, prvo je uklonio paket, a zatim preuzeo novu verziju, do ove tačke on Očekivao sam da će takva manipulacija samo resetirati brojač, ali na iznenađenje programera, sve stare verzije su takođe uklonjene iz spremišta, što je dovelo do problema za projekte zavisne od biblioteke, što su neki programeri uporedili sa incidentom koji je rezultat uklanjanja paketa sa levog panela u NPM-u.
Problem je pogoršala činjenica da je nakon uklanjanja, autor atomicwrites nije mogao preuzeti stare verzije, koje nisu vraćene do sljedećeg dana nakon što su PyPI administratori intervenirali.
nakon incidenta, autor paketa je odlučio da zaustavi razvoj atomicwrite-a i zastarjeli paket. Razlog je to što projekat razvija kao hobi u slobodno vrijeme, a dodatni zahtjevi koji otežavaju posao ne nadoknađuju vrijeme utrošeno na besplatno održavanje tako popularnog paketa.
Autor atomicwrites tvrdi da bi radije pisao kod iz zabave, te da se dodatna zaštita od otmice od strane napadača može pobrinuti kada to platite.
Biblioteka atomicwrites sadrži oko 200 linija koda i pruža funkcije za atomsko pisanje datoteka. Kao zamjenu, možete koristiti redovne pozive os.replace i os.rename (operacija se svodi na pisanje u datoteku s privremenim imenom i preimenovanje odredišne datoteke kada je spremna).
Sa preko 350 paketa trenutno u PyPI repozitorijumu, dvofaktorska autentifikacija će biti primenjena na približno 000 paketa. Pripremljena je posebna stranica za provjeru da li je račun uvršten na listu. Tačan datum za uključivanje obavezne dvofaktorske autentifikacije još nije određen, očekuje se da će se to dogoditi u narednim mjesecima.
Konačno ako ste zainteresirani da saznate više o tome, detalje možete provjeriti u sljedeći link.