PyPI में, दो-कारक प्रमाणीकरण अब सभी के लिए अनिवार्य है

2fa

2FA एक पहचान और पहुंच प्रबंधन सुरक्षा पद्धति है जिसके लिए पहचान के दो रूपों की आवश्यकता होती है।

डेढ़ साल के काम और कुछ क्रमिक बदलावों के बाद, 2FA के माध्यम से अनिवार्य प्रमाणीकरण अंततः सामान्य तरीके से पेश किया गया है PyPI में सभी उपयोगकर्ताओं के लिए, 2022 के मध्य से Python पैकेज रिपॉजिटरी PyPI (पायथन पैकेज इंडेक्स) के डेवलपर्स ने महत्वपूर्ण पैकेजों के लिए अनिवार्य दो-कारक प्रमाणीकरण में संक्रमण के लिए एक मार्ग की घोषणा की है।

उक्त घोषणा के एक वर्ष बाद (जून 2023 में) अनिवार्य प्रमाणीकरण लागू किया गया सभी के लिए दो कारक उपयोगकर्ता खाते जो उन्होंने उस समय बनाए रखे थे, कम से कम एक प्रोजेक्ट या किसी ऐसे संगठन का हिस्सा थे जो दो-कारक प्रमाणीकरण के अनिवार्य उपयोग के लिए पैकेज का चयन करता है।

2fa
संबंधित लेख:
PyPI ने पहले ही 2FA समर्थन लागू कर दिया है

Y अब, अनिवार्य दो-कारक प्रमाणीकरण की शुरूआत सभी एल पर लागू कर दी गई हैसामान्य रूप से ओएस उपयोगकर्ता, इसलिए दो-कारक प्रमाणीकरण सक्षम नहीं करने से, उपयोगकर्ता अब फ़ाइलें अपलोड नहीं कर पाएंगे या अपने प्रोजेक्ट के प्रबंधन से संबंधित कार्य नहीं कर पाएंगे।

यह पोस्ट इसे वास्तविकता बनाने में की गई कड़ी मेहनत की पहचान है और उन सभी उपयोगकर्ताओं को धन्यवाद है जिन्होंने अपने खातों पर 2FA सक्षम किया है।

यह उन लोगों के लिए भी एक अनुस्मारक है जिन्होंने अभी तक 2FA सक्षम नहीं किया है, कि आपको कोई भी प्रबंधन कार्रवाई करने या PyPI पर फ़ाइलें अपलोड करने से पहले ऐसा करना होगा।

एक बार 2FA सक्षम हो जाने पर, आप एपीआई टोकन जेनरेट करने या फ़ाइलें अपलोड करने के लिए विश्वसनीय प्रकाशकों (पसंदीदा) को सेट करने सहित प्रबंधन कार्य करने में सक्षम होंगे।

जैसा कि पिछले लेखों में बताया गया है, रिपॉजिटरी डेवलपर्स पायथन PyPI पैकेज दो-कारक प्रमाणीकरण को लागू करने के महत्व पर प्रकाश डाला है। यह उपाय विकास प्रक्रिया में सुरक्षा में सुधार और क्रेडेंशियल लीक के कारण होने वाले संभावित दुर्भावनापूर्ण परिवर्तनों से परियोजनाओं की सुरक्षा के उद्देश्य से पेश किया गया है। दो-कारक प्रमाणीकरण सुरक्षा की एक अतिरिक्त परत प्रदान करता है, जो साझा पासवर्ड के उपयोग, समझौता की गई साइटों पर पासवर्ड भेद्यता, डेवलपर के स्थानीय सिस्टम पर हमलों या सोशल इंजीनियरिंग रणनीति से जुड़े जोखिमों को कम करता है।

संबंधित लेख:
PyPI में वे पहले से ही दो-कारक प्रमाणीकरण की तैयारी कर रहे हैं और शुरू में एक घटना की सूचना दी जा चुकी है

सुरक्षा को मजबूत करने की आवश्यकता अनधिकृत पहुंच के महत्वपूर्ण खतरे में निहित है खाता अधिग्रहण के कारण. इस प्रकार का हमला काफी जोखिम का प्रतिनिधित्व करता है, क्योंकि सफल होने पर, हमलावर अन्य उत्पादों और पुस्तकालयों में दुर्भावनापूर्ण परिवर्तन ला सकते हैं जो समझौता किए गए पैकेज पर निर्भर करते हैं। इसलिए, दो-कारक प्रमाणीकरण को पायथन सॉफ्टवेयर विकास पारिस्थितिकी तंत्र में अखंडता और विश्वास की रक्षा के लिए एक आवश्यक उपाय के रूप में प्रस्तुत किया गया है, जो अनधिकृत पहुंच और महत्वपूर्ण परियोजनाओं में दुर्भावनापूर्ण परिवर्तनों से उत्पन्न संभावित नकारात्मक परिणामों को रोकता है।

इसके अलावा, डेवलपर्स का उल्लेख है कि पसंदीदा दो-कारक प्रमाणीकरण एक योजना पर आधारित है जो FIDO U2F विनिर्देश और WebAuthn प्रोटोकॉल के साथ संगत हार्डवेयर टोकन का उपयोग करता है। यह विधि वन-टाइम पासवर्ड बनाने की तुलना में उच्च स्तर की सुरक्षा प्रदान करने के लिए जानी जाती है। FIDO U2F और WebAuthn के साथ संरेखित हार्डवेयर टोकन, प्रमाणीकरण प्रक्रिया में सुरक्षा में सुधार करते हुए, सुरक्षा की एक अतिरिक्त परत प्रदान करते हैं।

हार्डवेयर टोकन के अलावा, प्रमाणक अनुप्रयोगों का उपयोग करने का विकल्प है जो वन-टाइम पासवर्ड उत्पन्न करते हैं और टीओटीपी (टाइम-आधारित वन-टाइम पासवर्ड) प्रोटोकॉल का समर्थन करते हैं। इन ऐप्स के उदाहरणों में ऑथी, गूगल ऑथेंटिकेटर और फ्रीओटीपी शामिल हैं। ये ऐप्स टू-फैक्टर ऑथेंटिकेशन का एक और सुरक्षित विकल्प प्रदान करते हैं।

पैकेज डाउनलोड करते समय, डेवलपर्स को 'विश्वसनीय प्रकाशक' नामक प्रमाणीकरण विधि का उपयोग करने की दृढ़ता से अनुशंसा की जाती है। यह विधि ओपनआईडी कनेक्ट (ओआईडीसी) मानक पर आधारित है या एपीआई टोकन का उपयोग करती है। इस दृष्टिकोण को चुनने से पैकेज डाउनलोड से संबंधित इंटरैक्शन और लेनदेन में सुरक्षा को मजबूत करने में मदद मिलती है, इसमें शामिल प्रकाशकों को प्रमाणित करके विश्वास का एक अतिरिक्त स्तर प्रदान किया जाता है।

अंत में, यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं, आप देख सकते हैं निम्नलिखित लिंक में विवरण।


अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

*

*

  1. डेटा के लिए जिम्मेदार: मिगुएल elngel Gatón
  2. डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
  3. वैधता: आपकी सहमति
  4. डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
  5. डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
  6. अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।