Dans PyPI, ils se préparent déjà à l'authentification à deux facteurs et initialement un incident a déjà été signalé

Les développeurs du référentiel de packages PyPI Python fait connaître récemment par un post une feuille de route pour la transition vers l'authentification Deux facteurs obligatoires pour les packages critiques.

L'importance est déterminée par le nombre de téléchargements et le changement s'appliquera aux comptes des mainteneurs et des propriétaires de projets associés aux 1 % de packages les plus téléchargés en 6 mois.

Contrairement à la transition vers les projets d'authentification à deux facteurs RubyGems, NPM et GitHub, PyPI mettra initialement en œuvre un schéma qui implique l'utilisation souhaitable d'un jeton matériel avec des clés d'accès.

Comme raison de l'utilisation recommandée des jetons et du protocole WebAuthn, une sécurité plus élevée est mentionnée par rapport à la génération de mots de passe à usage unique (la possibilité d'utiliser TOTP au lieu de jetons sera disponible en option).

Les jetons peuvent être obtenus gratuitement, Eh bien, Google a parrainé l'initiative et alloué 4000 XNUMX clés Titan au projet. Chaque mainteneur peut demander gratuitement deux jetons USB-C ou USB-A. Le deuxième jeton est envoyé en tant que sauvegarde au cas où le jeton principal serait cassé ou perdu, afin de minimiser le risque de perdre l'accès au référentiel et d'éviter aux développeurs d'avoir à passer par une procédure de récupération difficile.

malheureusement, les jetons ne peuvent être envoyés qu'à Autriche, Belgique, Canada, France, Allemagne, Italie, Japon, Espagne, Suisse, Royaume-Uni et États-Unis.

Les compagnons d'autres pays peuvent acheter indépendamment Jetons compatibles FIDO U2F tels que les jetons Yubikey et Thetis. Comme alternative, il est également possible d'utiliser des applications d'authentification par mot de passe à usage unique qui prennent en charge le protocole TOTP, telles que Authy, Google Authenticator et FreeOTP, au lieu d'un jeton.

L'initiative n'a pas été sans incident.Parce que l'auteur du paquet Atomicwrites, qui compte 6 millions de téléchargements par mois et 38 millions en 6 mois, ne voulait pas passer à l'authentification à deux facteurs et j'ai essayé de réinitialiser le compteur de téléchargement pour exclure votre colis de la liste critique.

Recommencer, d'abord supprimé le paquet puis téléchargé la nouvelle version, jusqu'à ce point il Je m'attendais à ce qu'une telle manipulation ne fasse que réinitialiser le compteur, mais à la surprise du développeur, toutes les anciennes versions ont également été supprimées du référentiel, entraînant des problèmes pour les projets dépendant de la bibliothèque, que certains développeurs ont comparés à l'incident résultant de la suppression du package du panneau de gauche dans NPM.

Le problème a été aggravé par le fait qu'après le retrait, l'auteur d'atomicwrites n'a pas pu télécharger les anciennes versions, qui n'ont été restaurées que le lendemain après l'intervention des administrateurs de PyPI.

Après l'incident, l'auteur du paquet a décidé d'arrêter de développer atomicwrites et déprécier le paquet. La raison invoquée est qu'il développe le projet comme passe-temps pendant son temps libre et que les exigences supplémentaires qui compliquent le travail ne compensent pas le temps consacré à la maintenance gratuite d'un package aussi populaire.

L'auteur d'atomicwrites affirme qu'il préfère simplement écrire du code pour le plaisir, et qu'une protection supplémentaire contre le piratage par des attaquants peut être prise en charge lorsque vous payez pour cela.

La bibliothèque atomicwrites contient environ 200 lignes de code et fournit des fonctions pour écrire des fichiers de manière atomique. En remplacement, vous pouvez utiliser les appels réguliers os.replace et os.rename (l'opération se résume à écrire dans un fichier avec un nom temporaire et à renommer le fichier de destination lorsqu'il est prêt).

Avec plus de 350 000 packages actuellement dans le référentiel PyPI, l'authentification à deux facteurs sera appliquée à environ 3500 XNUMX packages. Une page spéciale a été préparée pour vérifier si un compte est inclus dans la liste. La date exacte d'inclusion de l'authentification obligatoire à deux facteurs n'a pas encore été déterminée, cela devrait se produire dans les mois à venir.

Enfin si vous souhaitez en savoir plus, vous pouvez vérifier les détails dans le lien suivant


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.