Gli sviluppatori del repository del pacchetto PyPI Python reso noto recentemente tramite un post una tabella di marcia per il passaggio all'autenticazione Obbligatorio a due fattori per i pacchetti critici.
L'importanza è determinata dal numero di download e la modifica si applicherà agli account dei manutentori e dei proprietari dei progetti associati all'1% più ricco di pacchetti in 6 mesi dai download.
A differenza del passaggio ai progetti di autenticazione a due fattori RubyGems, NPM e GitHub, PyPI implementerà inizialmente uno schema che prevede l'uso auspicabile di un token hardware con chiavi di accesso.
Come motivo per l'uso consigliato di token e il protocollo WebAuthn, viene menzionata una maggiore sicurezza rispetto alla generazione di password monouso (la possibilità di utilizzare TOTP anziché token sarà disponibile come opzione).
I gettoni possono essere ottenuti gratuitamente, Ebbene, Google ha sponsorizzato l'iniziativa e ha assegnato 4000 chiavi Titan per il progetto. Ogni manutentore può richiedere gratuitamente due token USB-C o USB-A. Il secondo token viene inviato come backup nel caso in cui il token principale sia rotto o perso, per ridurre al minimo il rischio di perdere l'accesso al repository ed evitare agli sviluppatori di dover affrontare una difficile procedura di ripristino.
Purtroppo, i token possono essere inviati solo a Austria, Belgio, Canada, Francia, Germania, Italia, Giappone, Spagna, Svizzera, Regno Unito e USA.
I compagni di altri paesi possono acquistare in modo indipendente Token compatibili FIDO U2F come i token Yubikey e Thetis. In alternativa, è anche possibile utilizzare applicazioni di autenticazione basate su password monouso che supportano il protocollo TOTP, come Authy, Google Authenticator e FreeOTP, invece di un token.
L'iniziativa non è stata senza incidenti.Perché l'autore del pacchetto Atomicwrites, che ha 6 milioni di download al mese e 38 milioni in 6 mesi, non voleva passare all'autenticazione due fattori e ho provato a ripristinare il contatore di download per escludere il tuo pacco dall'elenco critico.
Ricominciare, prima rimosso il pacchetto e poi scaricato la nuova versione, fino a questo punto lui Mi aspettavo che tale manipolazione avrebbe solo resettato il contatore, ma con sorpresa dello sviluppatore, anche tutte le vecchie versioni sono state rimosse dal repository, causando problemi per i progetti dipendenti dalla libreria, che alcuni sviluppatori hanno paragonato all'incidente derivante dalla rimozione del pacchetto dal pannello di sinistra in NPM.
Il problema era aggravato dal fatto che dopo la rimozione, l'autore di atomicwrites non è stato in grado di scaricare le vecchie versioni, che non sono state ripristinate fino al giorno successivo all'intervento degli amministratori di PyPI.
Dopo l'incidente, l'autore del pacchetto ha deciso di interrompere lo sviluppo di atomicwrites e deprecare il pacchetto. Il motivo addotto è che sviluppa il progetto come hobby nel suo tempo libero e i requisiti aggiuntivi che complicano il lavoro non compensano il tempo speso per la manutenzione gratuita di un pacchetto così popolare.
L'autore di atomicwrites sostiene che preferirebbe scrivere codice solo per divertimento e che una protezione aggiuntiva contro il dirottamento da parte di aggressori può essere gestita quando si paga per questo.
La libreria atomicwrites contiene circa 200 righe di codice e fornisce funzioni per scrivere file in modo atomico. In sostituzione, puoi utilizzare le normali chiamate os.replace e os.rename (l'operazione si riduce a scrivere su un file con un nome temporaneo e rinominare il file di destinazione quando è pronto).
Con oltre 350 pacchetti attualmente nel repository PyPI, l'autenticazione a due fattori verrà applicata a circa 000 pacchetti. È stata preparata una pagina speciale per verificare se un account è incluso nell'elenco. La data esatta per l'inclusione dell'autenticazione a due fattori obbligatoria non è stata ancora determinata, ciò dovrebbe avvenire nei prossimi mesi.
Infine se sei interessato a saperne di più, puoi controllare i dettagli nel file seguente link