PyPI ने पहले ही 2FA समर्थन लागू कर दिया है

2fa

2FA एक पहचान और पहुंच प्रबंधन सुरक्षा पद्धति है जिसके लिए पहचान के दो रूपों की आवश्यकता होती है।

पिछले साल हम यहाँ ब्लॉग पर खबर साझा करते हैं कि PyPI पैकेज रिपॉजिटरी के विकासकर्ता महत्वपूर्ण पैकेजों के लिए अनिवार्य दो-कारक प्रमाणीकरण के लिए PyPI को परिवर्तित करने पर काम कर रहे थे।

इसका उल्लेख करने का कारण यह है संक्रमण कुछ दिन पहले ही पूरा हो गया था और एक घोषणा के माध्यम से, डेवलपर्स ने उन सभी उपयोगकर्ता खातों को स्थानांतरित करने के निर्णय की भी घोषणा की जो कम से कम एक परियोजना को बनाए रखते हैं या एक संगठन का हिस्सा हैं जो दो-कारक प्रमाणीकरण के अनिवार्य उपयोग के लिए पैकेज का चयन करते हैं।

संबंधित लेख:
PyPI में वे पहले से ही दो-कारक प्रमाणीकरण की तैयारी कर रहे हैं और शुरू में एक घटना की सूचना दी जा चुकी है

दो-कारक प्रमाणीकरण का उपयोग करना (बेहतर रूप से 2FA के रूप में जाना जाता है) क्योंकि रिपॉजिटरी है पायथन, PyPI के लिए आधिकारिक सॉफ्टवेयर, कई हमलों का लक्ष्य बन गया है हाल के वर्षों में आपूर्ति श्रृंखला में, जिनमें से कुछ में हैकर्स ने परियोजनाओं में दुर्भावनापूर्ण कोड इंजेक्ट करने के लिए रखरखाव खातों से समझौता किया।

2FA लागू करते समय परियोजना अनुरक्षकों के लिए, PyPI खाता अधिग्रहण के हमलों को रोकना चाहता है, इस प्रकार समुदाय को आश्वस्त करता है कि केवल एक परियोजना से जुड़े लोग ही कोड को अपलोड, संशोधित या हटा सकते हैं।

आज, Python पारिस्थितिकी तंत्र की रक्षा के लिए उस दीर्घकालिक प्रयास के हिस्से के रूप में, हम घोषणा कर रहे हैं कि PyPI पर किसी भी परियोजना या संगठन द्वारा बनाए गए प्रत्येक खाते को 2 के अंत तक अपने खाते पर 2023FA सक्षम करने की आवश्यकता होगी।

अब से लेकर साल के अंत तक, PyPI 2FA के उपयोग के आधार पर कुछ साइट सुविधाओं तक पहुंच प्राप्त करना शुरू कर देगा। साथ ही, हम शुरुआती आवेदन के लिए कुछ खास उपयोगकर्ताओं या परियोजनाओं का चयन करना शुरू कर सकते हैं।

ऐसे में टू-फैक्टर ऑथेंटिकेशन का इस्तेमाल विकास प्रक्रिया की सुरक्षा में वृद्धि और परियोजनाओं को क्रेडेंशियल लीक के परिणामस्वरूप दुर्भावनापूर्ण परिवर्तन करने से रोकेगा, एक समझौता किए गए साइट पर एक ही पासवर्ड का उपयोग करके, डेवलपर की स्थानीय प्रणाली में हैकिंग, या सोशल इंजीनियरिंग विधियों का उपयोग करना।

खाता हाइजैकिंग के परिणामस्वरूप हमलावरों द्वारा पहुंच प्राप्त करना सबसे खतरनाक खतरों में से एक है, क्योंकि एक सफल हमले की स्थिति में, दुर्भावनापूर्ण परिवर्तनों को अन्य उत्पादों और पुस्तकालयों द्वारा प्रतिस्थापित किया जा सकता है जो एक निर्भरता के रूप में समझौता किए गए पैकेज का उपयोग करते हैं।

दो-कारक प्रमाणीकरण की पसंदीदा विधि के रूप में, एक टोकन-आधारित योजना घोषित की गई है हार्डवेयर उपकरण जो FIDO U2F और WebAuthn प्रोटोकॉल का समर्थन करते हैं, जो आपको वन-टाइम पासवर्ड जनरेट करने की तुलना में उच्च स्तर की सुरक्षा प्राप्त करने की अनुमति देता है।

टोकन के अलावा, आप वन-टाइम पासवर्ड-आधारित ऑथेंटिकेटर ऐप का भी उपयोग कर सकते हैं, जो टीओटीपी प्रोटोकॉल का समर्थन करते हैं, जैसे कि ऑटि, गूगल ऑथेंटिकेटर और फ्रीओटीपी। पैकेज डाउनलोड करते समय, डेवलपर्स को ओपनआईडी कनेक्ट (ओआईडीसी) मानक के आधार पर 'विश्वसनीय प्रकाशक' प्रमाणीकरण पद्धति पर स्विच करने या एपीआई टोकन का उपयोग करने के लिए भी प्रोत्साहित किया जाता है।

इस वर्ष के अंत तक 2FA को अनिवार्य बनाने की योजना के साथ, कई उपयोगकर्ताओं के पास अपने खाते में अतिरिक्त प्रमाणीकरण उपाय लागू करने के लिए छह महीने की अवधि होगी। पायथन रिपॉजिटरी से आधिकारिक ब्लॉग पोस्ट अधिक बताते हैं:

“अब और साल के अंत के बीच, PyPI 2FA के उपयोग के आधार पर कुछ साइट सुविधाओं तक पहुंच प्राप्त करना शुरू कर देगा। साथ ही, हम शुरुआती आवेदन के लिए कुछ खास उपयोगकर्ताओं या परियोजनाओं का चयन शुरू कर सकते हैं।

यह उल्लेख किया जाना चाहिए कि इस प्रकार उपयोगकर्ता संक्रमण 2023 के अंत तक पूरा होने के लिए निर्धारित है. समय सीमा से पहले, उन डेवलपर्स के लिए उपलब्ध कार्यक्षमता का चरणबद्ध प्रतिबंध होगा जिन्होंने दो-कारक प्रमाणीकरण को सक्षम नहीं किया है। इसके अलावा, कुछ श्रेणियों के उपयोगकर्ताओं के लिए, दो-कारक प्रमाणीकरण सक्षम करने की आवश्यकता पहले से लागू होगी।

अंत में, हम कह सकते हैं कि प्‍लेटफॉर्म पर परियोजना या संगठन को बनाए रखने वाले सभी उपयोगकर्ताओं के लिए 2FA को अनिवार्य बनाने का PyPI का निर्णय सुरक्षा में सुधार के लिए सही दिशा में एक कदम है।

अगर तुम हो इसके बारे में अधिक जानने में रुचि रखते हैं, आप विवरण की जांच कर सकते हैं निम्नलिखित लिंक में


पहली टिप्पणी करने के लिए

अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

*

*

  1. डेटा के लिए जिम्मेदार: मिगुएल elngel Gatón
  2. डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
  3. वैधता: आपकी सहमति
  4. डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
  5. डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
  6. अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।