Udviklerne af PyPI-pakkelageret Python gjort kendt for nylig gennem et indlæg en køreplan for overgangen til autentificering Obligatorisk to-faktor for kritiske pakker.
Vigtigheden bestemmes af antallet af downloads, og ændringen vil gælde for konti for vedligeholdere og projektejere, der er knyttet til top 1% af pakker i 6 måneder ved downloads.
I modsætning til overgangen til RubyGems, NPM og GitHub to-faktor autentificeringsprojekterne, vil PyPI i første omgang implementere et skema, der involverer den ønskelige brug af et hardwaretoken med adgangsnøgler.
Som en grund til den anbefalede brug af tokens og WebAuthn-protokollen, nævnes højere sikkerhed sammenlignet med generering af engangsadgangskoder (muligheden til at bruge TOTP i stedet for tokens vil være tilgængelig som en mulighed).
Poletter kan fås gratis, Nå, Google sponsorerede initiativet og tildelte 4000 Titan-nøgler til projektet. Hver vedligeholder kan anmode om to USB-C- eller USB-A-tokens gratis. Det andet token sendes som en backup i tilfælde af, at hovedtokenet går i stykker eller går tabt, for at minimere risikoen for at miste adgangen til depotet og spare udviklere fra at skulle igennem en vanskelig gendannelsesprocedure.
desværre, tokens kan kun sendes til Østrig, Belgien, Canada, Frankrig, Tyskland, Italien, Japan, Spanien, Schweiz, Storbritannien og USA.
Ledsagere fra andre lande kan købe uafhængigt FIDO U2F-kompatible tokens såsom Yubikey og Thetis tokens. Som et alternativ er det også muligt at bruge engangsadgangskodebaserede godkendelsesapplikationer, der understøtter TOTP-protokollen, såsom Authy, Google Authenticator og FreeOTP, i stedet for et token.
Initiativet var ikke uden hændelser., så forfatteren af Atomicwrites-pakken, som har 6 millioner downloads om måneden og 38 millioner på 6 måneder, ønskede ikke at skifte til godkendelse to-faktor og forsøgte at nulstille downloadtælleren for at udelukke din pakke fra den kritiske liste.
For at genstarte, fjernede først pakken og downloadede derefter den nye version, indtil dette punkt han Jeg forventede, at en sådan manipulation kun ville nulstille tælleren, men til udviklerens overraskelse blev alle gamle versioner også fjernet fra depotet, hvilket førte til problemer for projekter, der var afhængige af biblioteket, hvilket nogle udviklere sammenlignede med hændelsen som følge af fjernelse af pakken fra venstre panel i NPM.
Problemet blev forværret af det faktum, at efter fjernelse, forfatteren af atomicwrites var ikke i stand til at downloade de gamle versioner, som ikke blev gendannet før dagen efter, efter at PyPI-administratorerne greb ind.
Efter hændelsen, Forfatteren af pakken besluttede at stoppe med at udvikle atomicwrites og forælde pakken. Begrundelsen er, at han udvikler projektet som en hobby i sin fritid, og de yderligere krav, der komplicerer arbejdet, kompenserer ikke for den tid, der bruges på gratis vedligeholdelse af en så populær pakke.
Forfatteren af atomicwrites hævder, at han hellere bare vil skrive kode for sjov, og at yderligere beskyttelse mod kapring af angribere kan tages hånd om, når du betaler for det.
Atomicwrites-biblioteket indeholder omkring 200 linjer kode og giver funktioner til at skrive filer atomært. Som erstatning kan du bruge de almindelige kald os.replace og os.rename (handlingen går ud på at skrive til en fil med et midlertidigt navn og omdøbe destinationsfilen, når den er klar).
Med over 350 pakker i øjeblikket i PyPI-lageret, vil to-faktor-godkendelse blive anvendt på cirka 000 pakker. Der er udarbejdet en særlig side for at tjekke, om en konto er med på listen. Den nøjagtige dato for medtagelse af obligatorisk to-faktor autentificering er endnu ikke fastlagt, dette forventes at ske i de kommende måneder.
Endelig hvis du er interesseret i at vide mere om det, kan du kontrollere detaljerne i følgende link.