Dans PyPI, l'authentification à deux facteurs est désormais obligatoire pour tout le monde

2fa

2FA est une méthode de sécurité de gestion des identités et des accès qui nécessite deux formes d'identification.

Après un an et demi de travail et quelques changements progressifs, l'authentification obligatoire via 2FA a enfin été introduite de manière générale pour tous les utilisateurs de PyPI, puisque depuis mi-2022 les développeurs du référentiel de packages Python PyPI (Python Package Index) ont annoncé une voie pour la transition vers l'authentification obligatoire à deux facteurs pour les packages critiques.

Un an après ladite annonce (en juin 2023) Authentification obligatoire mise en œuvre de deux facteurs pour tous comptes d'utilisateurs qu'ils géraient à ce moment-là, au moins un projet ou faisaient partie d'une organisation qui sélectionne des packages pour l'utilisation obligatoire de l'authentification à deux facteurs.

2fa
Article connexe:
PyPI a déjà implémenté le support 2FA

Y Désormais, l'introduction de l'authentification obligatoire à deux facteurs a été appliquée à tous les lOS en général, donc en n'activant pas l'authentification à deux facteurs, l'utilisateur ne pourra désormais plus télécharger de fichiers ni effectuer d'actions liées à la gestion de son projet.

Cet article est une reconnaissance du travail acharné qui a permis d'en faire une réalité et un merci à tous les utilisateurs qui ont activé 2FA sur leurs comptes.

C'est également un rappel pour ceux qui n'ont pas encore activé 2FA, que vous devrez le faire avant de pouvoir effectuer des actions de gestion ou télécharger des fichiers sur PyPI.

Une fois 2FA activé, vous pourrez effectuer des actions de gestion, notamment générer des jetons API ou configurer des éditeurs de confiance (de préférence) pour télécharger des fichiers.

Comme indiqué dans les articles précédents, les développeurs du référentiel Packages PythonPyPI ont souligné l’importance de mettre en œuvre une authentification à deux facteurs. Cette mesure est introduite dans le but d'améliorer la sécurité dans le processus de développement et de protéger les projets contre d'éventuelles modifications malveillantes causées par des fuites d'informations d'identification. L'authentification à deux facteurs fournit une couche de protection supplémentaire, atténuant les risques associés à l'utilisation de mots de passe partagés, à la vulnérabilité des mots de passe sur les sites compromis, aux attaques contre le système local du développeur ou aux tactiques d'ingénierie sociale.

Article connexe:
Dans PyPI, ils se préparent déjà à l'authentification à deux facteurs et initialement un incident a déjà été signalé

La nécessité de renforcer la sécurité réside dans la menace importante d'accès non autorisé en raison d'un rachat de compte. Ce type d'attaque représente un risque considérable, car en cas de succès, les attaquants pourraient introduire des modifications malveillantes dans d'autres produits et bibliothèques qui dépendent du package compromis. Par conséquent, l’authentification à deux facteurs est présentée comme une mesure essentielle pour sauvegarder l’intégrité et la confiance dans l’écosystème de développement logiciel Python, en évitant les conséquences négatives potentielles dérivées d’un accès non autorisé et de modifications malveillantes apportées aux projets critiques.

De plus, les développeurs mentionnent que l'authentification à deux facteurs préférée est basée sur un schéma qui utilise des jetons matériels compatibles avec la spécification FIDO U2F et le protocole WebAuthn. Cette méthode se distingue par le fait qu'elle offre un niveau de sécurité plus élevé que la génération de mots de passe à usage unique. Les jetons matériels, alignés sur FIDO U2F et WebAuthn, offrent une couche de protection supplémentaire, améliorant la sécurité du processus d'authentification.

En plus des jetons matériels, il existe la possibilité d'utiliser des applications d'authentification qui génèrent des mots de passe à usage unique et prennent en charge le protocole TOTP (Time-Based One-Time Password). Des exemples de ces applications incluent Authy, Google Authenticator et FreeOTP. Ces applications offrent une autre alternative sécurisée à l'authentification à deux facteurs.

Lors du téléchargement de packages, il est fortement recommandé aux développeurs d'utiliser la méthode d'authentification appelée « Éditeurs de confiance ». Cette méthode est basée sur le standard OpenID Connect (OIDC) ou utilise des jetons API. Le choix de cette approche permet de renforcer la sécurité des interactions et des transactions liées aux téléchargements de packages, en offrant un niveau de confiance supplémentaire en authentifiant les éditeurs impliqués.

Enfin, Si vous souhaitez en savoir plus, vous pouvez vérifier le détails dans le lien suivant.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.