Els desenvolupadors del repositori de paquets PyPI Pitó van donar a conèixer fa poc mitjançant una publicació un full de ruta per a la transició a l'autenticació obligatòria de dos factors per a paquets crítics.
La importància està determinada per la quantitat de descàrregues i el canvi s'aplica als comptes dels mantenidors i propietaris de projectes associats amb l'1% superior dels paquets en 6 mesos per descàrregues.
A diferència de la transició als projectes d'autenticació de dos factors RubyGems, NPM i GitHub, PyPI inicialment implementarà un esquema que implica l'ús desitjable d'un token de maquinari amb claus d'accés.
Com a raó per l'ús recomanat de tokens i el protocol WebAuthn, s'esmenta més seguretat en comparació amb la generació de contrasenyes d'un sol ús (la capacitat d'usar TOTP en lloc de tokens estarà disponible com a opció).
Els tokens es poden obtenir de forma gratuïta, doncs Google va patrocinar la iniciativa i va assignar 4000 claus Titan per al projecte. Cada mantenidor pot sol·licitar dos tokens USB-C o USB-A sense càrrec. El segon token s'envia com a respatller en cas que el principal es trenqui o es perdi, per minimitzar el risc de perdre l'accés al repositori i evitar que els desenvolupadors hagin de passar per un procediment de recuperació de difícil accés.
Desafortunadament, els tokens només es poden enviar a Àustria, Bèlgica, Canadà, França, Alemanya, Itàlia, Japó, Espanya, Suïssa, Regne Unit i EUA.
Els acompanyants d'altres països poden comprar independentment tokens compatibles amb FIDO U2F, com tokens Yubikey i Thetis. Com a alternativa, també és possible utilitzar aplicacions d'autenticació basades en contrasenyes d'un sol ús que admetin el protocol TOTP, com ara Authy, Google Authenticator i FreeOTP, en lloc d'un token.
La iniciativa no va estar exempta d'incidents, Doncs l'autor del paquet Atomicwrites, que té 6 milions de descàrregues al mes i 38 milions en 6 mesos, no va voler canviar a l'autenticació de dos factors i va intentar restablir el comptador de descàrregues per excloure el paquet de la llista de crítics.
Per reiniciar, primer va eliminar el paquet i després va descarregar la nova versió, fins aquest punt ell esperava que aquesta manipulació només reiniciés el comptador, però per a sorpresa del desenvolupador, totes les versions antigues també es van eliminar del repositori, cosa que va generar problemes per als projectes dependents de la biblioteca, que alguns desenvolupadors van comparar amb l'incident resultant de l'eliminació del paquet del panell esquerre a NPM.
El problema es va veure agreujat pel fet que després de l'eliminació, l'autor d'atomicswrites no va poder descarregar les versions antigues, que no van ser restaurades fins al dia següent després de la intervenció dels administradors de PyPI.
Després de l'incident, l'autor del paquet va decidir deixar de desenvolupar atomicwrites i desaprovar el paquet. La raó adduïda és que desenvolupa el projecte com un hobby al seu temps lliure i els requisits addicionals que compliquen la feina no compensen el temps dedicat al manteniment gratuït d'un paquet amb tanta popularitat.
L'autor d'atomicswrites argumenta que preferiria simplement escriure codi per diversió, i que la protecció addicional contra el segrest per part dels atacants es pot cuidar quan paga per ella.
La biblioteca atomicwrites conté unes 200 línies de codi i proporciona funcions per escriure fitxers de forma atòmica. Com a reemplaçament, podeu utilitzar les trucades regulars os.replace i os.rename (l'operació es redueix a escriure en un fitxer amb un nom temporal i canviar-li el nom al fitxer de destinació quan estigui llest).
Amb més de 350 paquets actualment al repositori de PyPI, l'autenticació de dos factors s'aplicarà a aproximadament 000 paquets. S'ha preparat una pàgina especial per verificar si un compte està inclòs a la llista. Encara no s'ha determinat la data exacta per a la inclusió de l'autenticació de dos factors obligatòria, s'espera que això passi els propers mesos.
Finalment si estàs interessat en poder conèixer més a l'respecte, Pots consultar els detalls al següent enllaç.