A PyPI csomagtár fejlesztői Piton ismertté tették nemrég egy bejegyzés útján ütemterv a hitelesítésre való átálláshoz A kritikus csomagoknál kötelező kéttényezős.
A jelentőségét a letöltések száma határozza meg, és a változás a letöltések szerint 1 hónapon belül a csomagok felső 6%-ához tartozó fenntartók és projekttulajdonosok fiókjaira vonatkozik.
A RubyGems, NPM és GitHub kéttényezős hitelesítési projektekre való átállástól eltérően a PyPI kezdetben egy olyan sémát valósít meg, amely magában foglalja egy hardveres token kívánatos használatát a hozzáférési kulcsokkal.
Ennek okaként a tokenek és a WebAuthn protokoll ajánlott használata, nagyobb biztonságot említenek az egyszeri jelszavak generálásához képest (opcióként elérhető lesz a tokenek helyett a TOTP használatának lehetősége).
A tokenek ingyenesen szerezhetők be, Nos, a Google szponzorálta a kezdeményezést, és 4000 Titan kulcsot különített el a projekthez. Minden karbantartó ingyenesen igényelhet két USB-C vagy USB-A tokent. A második jogkivonatot biztonsági másolatként küldi el arra az esetre, ha a fő jogkivonat elromolna vagy elveszne, hogy minimalizálja a tárhoz való hozzáférés elvesztésének kockázatát, és megóvja a fejlesztőket attól, hogy nehéz helyreállítási eljáráson kelljen keresztülmenniük.
Sajnos, tokeneket csak a címre lehet küldeni Ausztria, Belgium, Kanada, Franciaország, Németország, Olaszország, Japán, Spanyolország, Svájc, az Egyesült Királyság és az Egyesült Államok.
Más országokból származó társak önállóan vásárolhatnak FIDO U2F kompatibilis tokenek, például Yubikey és Thetis tokenek. Alternatív megoldásként lehetőség van a TOTP protokollt támogató egyszeri jelszó alapú hitelesítési alkalmazások használatára is, mint például az Authy, a Google Authenticator és a FreeOTP, token helyett.
A kezdeményezés nem volt eseménytelen., jól az Atomicwrites csomag szerzője, amelyet havonta 6 millióan, 38 hónap alatt pedig 6 millióan töltöttek le, nem akart hitelesítésre váltani kéttényezős és megpróbálta visszaállítani a letöltésszámlálót hogy csomagját kizárja a kritikus listáról.
Előröl kezdeni, először eltávolította a csomagot, majd letöltötte az új verziót, idáig ő Arra számítottam, hogy egy ilyen manipuláció csak visszaállítja a számlálót, ám a fejlesztő meglepetésére az összes régi verziót is eltávolították a tárból, ami problémákhoz vezetett a könyvtárfüggő projekteknél, amit egyes fejlesztők az NPM bal oldali paneléről a csomag eltávolításából eredő incidenshez hasonlítottak.
A problémát súlyosbította, hogy az eltávolítás után az atomicwrites szerzője nem tudta letölteni a régi verziókat, amelyeket csak másnap állítottak vissza a PyPI rendszergazdák közbelépése után.
Az eset után a csomag szerzője úgy döntött, hogy leállítja az atomicwrite fejlesztését és érvénytelenítse a csomagot. Az indoklás szerint szabadidejében hobbiból fejleszti a projektet, és a munkát nehezítő további követelmények nem kompenzálják az ilyen népszerű csomag ingyenes karbantartására fordított időt.
Az atomicwrites szerzője azzal érvel, hogy inkább csak szórakozásból ír kódot, és a támadók általi eltérítések elleni további védelemről akkor gondoskodhat, amikor fizet érte.
Az atomicwrites könyvtár körülbelül 200 kódsort tartalmaz, és funkciókat biztosít a fájlok atomi írására. Csereként használhatja a szokásos os.replace és os.rename hívásokat (a művelet abban áll, hogy ideiglenes névvel írunk egy fájlt, és ha készen vagyunk, át kell nevezni a célfájlt).
A PyPI tárolójában jelenleg több mint 350 000 csomag található, így körülbelül 3500 csomagra lesz kéttényezős hitelesítés. Egy speciális oldal készült annak ellenőrzésére, hogy egy fiók szerepel-e a listán. A kötelező kéttényezős hitelesítés bevezetésének pontos dátuma még nincs meghatározva, erre várhatóan a következő hónapokban kerül sor.
Végül ha érdekel, hogy többet tudjon meg róla, ellenőrizheti a részleteket a következő link.