Το 2FA είναι μια μέθοδος ασφάλειας διαχείρισης ταυτότητας και πρόσβασης που απαιτεί δύο μορφές αναγνώρισης.
Πέρυσι μοιραζόμαστε τις ειδήσεις εδώ στο ιστολόγιο ότι οι προγραμματιστές του αποθετηρίου πακέτων PyPI εργάζονταν για τη μετάβαση του PyPI σε υποχρεωτικό έλεγχο ταυτότητας δύο παραγόντων για κρίσιμα πακέτα.
Ο λόγος που το αναφέρουμε είναι ότι η μετάβαση είχε ήδη ολοκληρωθεί πριν από λίγες μέρες Και μέσω μιας ανακοίνωσης, οι προγραμματιστές ανακοίνωσαν επίσης την απόφαση να μετακινηθούν όλοι οι λογαριασμοί χρηστών που διατηρούν τουλάχιστον ένα έργο ή αποτελούν μέρος ενός οργανισμού που επιλέγει πακέτα για την υποχρεωτική χρήση ελέγχου ταυτότητας δύο παραγόντων.
Χρήση ελέγχου ταυτότητας δύο παραγόντων (περισσότερο γνωστό ως 2FA) είναι επειδή το αποθετήριο επίσημο λογισμικό για Python, PyPI, έχει γίνει στόχος πολλών επιθέσεων στην εφοδιαστική αλυσίδα τα τελευταία χρόνια, σε ορισμένα από τα οποία χάκερ παραβίασαν λογαριασμούς συντήρησης για να εισάγουν κακόβουλο κώδικα σε έργα.
Κατά την επιβολή 2FA για τους συντηρητές έργων, Το PyPI θέλει να αποτρέψει επιθέσεις κατάληψης λογαριασμού, διασφαλίζοντας έτσι την κοινότητα ότι μόνο άτομα που σχετίζονται με ένα έργο μπορούν να ανεβάσουν, να τροποποιήσουν ή να αφαιρέσουν κώδικα.
Σήμερα, ως μέρος αυτής της μακροπρόθεσμης προσπάθειας για την προστασία του οικοσυστήματος της Python, ανακοινώνουμε ότι κάθε λογαριασμός που διατηρείται από οποιοδήποτε έργο ή οργανισμό στο PyPI θα πρέπει να ενεργοποιήσει το 2FA στο λογαριασμό του μέχρι το τέλος του 2023.
Από τώρα μέχρι το τέλος του έτους, το PyPI θα αρχίσει να αποκτά πρόσβαση σε ορισμένες λειτουργίες του ιστότοπου με βάση τη χρήση 2FA. Επίσης, μπορούμε να αρχίσουμε να επιλέγουμε ορισμένους χρήστες ή έργα για πρώιμη εφαρμογή.
Ως εκ τούτου, η χρήση του ελέγχου ταυτότητας δύο παραγόντων αυξάνουν την προστασία της αναπτυξιακής διαδικασίας και θα αποτρέψει τα έργα από το να κάνουν κακόβουλες αλλαγές ως αποτέλεσμα διαρροών διαπιστευτηρίων, χρησιμοποιώντας τον ίδιο κωδικό πρόσβασης σε παραβιασμένο ιστότοπο, εισβολή στο τοπικό σύστημα του προγραμματιστή ή χρήση μεθόδων κοινωνικής μηχανικής.
Η απόκτηση πρόσβασης από εισβολείς ως αποτέλεσμα παραβίασης λογαριασμού είναι μια από τις πιο επικίνδυνες απειλές, καθώς σε περίπτωση επιτυχούς επίθεσης, κακόβουλες αλλαγές μπορούν να αντικατασταθούν από άλλα προϊόντα και βιβλιοθήκες που χρησιμοποιούν το παραβιασμένο πακέτο ως εξάρτηση.
Ως προτιμώμενη μέθοδος ελέγχου ταυτότητας δύο παραγόντων, δηλώνεται ένα σχήμα που βασίζεται σε διακριτικά συσκευές υλικού που υποστηρίζουν το FIDO U2F και το πρωτόκολλο WebAuthn, το οποίο σας επιτρέπει να επιτύχετε υψηλότερο επίπεδο ασφάλειας σε σύγκριση με τη δημιουργία κωδικών πρόσβασης μίας χρήσης.
Εκτός από τα διακριτικά, μπορείτε επίσης να χρησιμοποιήσετε εφάπαξ εφαρμογές ελέγχου ταυτότητας που βασίζονται σε κωδικό πρόσβασης που υποστηρίζουν το πρωτόκολλο TOTP, όπως το Authy, το Google Authenticator και το FreeOTP. Κατά τη λήψη πακέτων, οι προγραμματιστές ενθαρρύνονται επίσης να μεταβούν στη μέθοδο ελέγχου ταυτότητας "Αξιόπιστοι εκδότες" που βασίζεται στο πρότυπο OpenID Connect (OIDC) ή να χρησιμοποιούν διακριτικά API.
Πολλοί χρήστες θα έχουν πιθανότατα ένα χρονικό διάστημα έξι μηνών για να εφαρμόσουν το πρόσθετο μέτρο ελέγχου ταυτότητας στον λογαριασμό τους, με σχέδια να καταστήσουν υποχρεωτικό το 2FA μέχρι το τέλος του τρέχοντος έτους. Η επίσημη ανάρτηση ιστολογίου από το αποθετήριο Python εξηγεί περισσότερα:
«Από τώρα έως το τέλος του έτους, το PyPI θα αρχίσει να αποκτά πρόσβαση σε ορισμένες λειτουργίες του ιστότοπου που βασίζονται στη χρήση 2FA. Επίσης, μπορούμε να αρχίσουμε να επιλέγουμε ορισμένους χρήστες ή έργα για μια πρώιμη εφαρμογή.”
Πρέπει να αναφερθεί ότι ως τέτοια Η μετάβαση χρήστη έχει προγραμματιστεί να ολοκληρωθεί έως το τέλος του 2023. Πριν από τη λήξη της προθεσμίας, θα υπάρχει σταδιακός περιορισμός της λειτουργικότητας στους προγραμματιστές που δεν έχουν ενεργοποιήσει τον έλεγχο ταυτότητας δύο παραγόντων. Επιπλέον, για ορισμένες κατηγορίες χρηστών, θα ισχύει εκ των προτέρων η απαίτηση ενεργοποίησης του ελέγχου ταυτότητας δύο παραγόντων.
Τέλος, μπορούμε να πούμε ότι η απόφαση της PyPI να καταστήσει το 2FA υποχρεωτικό για όλους τους χρήστες που διατηρούν ένα έργο ή έναν οργανισμό στην πλατφόρμα είναι ένα βήμα προς τη σωστή κατεύθυνση για τη βελτίωση της ασφάλειας.
Αν είστε ενδιαφέρεται να μάθει περισσότερα για αυτό, μπορείτε να ελέγξετε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.