אחרי שנה וחצי של עבודה וכמה שינויים הדרגתיים, אימות חובה דרך 2FA הוצג סוף סוף באופן כללי לכל המשתמשים ב-PyPI, שכן מאז אמצע 2022 הכריזו מפתחי מאגר החבילות Python PyPI (Python Package Index) על מסלול למעבר לאימות חובה דו-גורמי עבור חבילות קריטיות.
שנה לאחר ההודעה האמורה (ביוני 2023) אימות חובה מיושם של שני גורמים לכולם חשבונות משתמש שהם ניהלו באותו זמן, לפחות פרויקט אחד או היו חלק מארגון שבוחר חבילות לשימוש חובה של אימות דו-גורמי.
Y כעת, ההכנסה של אימות דו-גורמי חובה הוחל על כל ה-lמשתמשי OS באופן כללי, כך שאם לא תפעיל אימות דו-גורמי, המשתמש לא יוכל כעת להעלות קבצים או לבצע פעולות הקשורות לניהול הפרויקט שלו.
הפוסט הזה הוא הכרה בעבודה הקשה שהושקעה בהפיכתו למציאות ותודה לכל המשתמשים שהפעילו את 2FA בחשבונותיהם.
זוהי גם תזכורת למי שעדיין לא הפעיל את 2FA, שתצטרך לעשות זאת לפני שתוכל לבצע פעולות ניהול או להעלות קבצים ל- PyPI.
לאחר הפעלת 2FA, תוכל לבצע פעולות ניהול, כולל יצירת אסימוני API או הגדרת מפרסמים מהימנים (מועדף) להעלאת קבצים.
כפי שצוין במאמרים קודמים, מפתחי המאגר חבילות Python PyPI הדגישו את החשיבות של יישום אימות דו-גורמי. אמצעי זה הוכנס במטרה לשפר את האבטחה בתהליך הפיתוח ולהגן על פרויקטים מפני שינויים זדוניים אפשריים הנגרמים על ידי דליפות אישורים. אימות דו-גורמי מספק שכבת הגנה נוספת, מפחית סיכונים הקשורים לשימוש בסיסמאות משותפות, פגיעות סיסמאות באתרים שנפגעו, התקפות על המערכת המקומית של המפתח או טקטיקות של הנדסה חברתית.
הצורך בחיזוק האבטחה טמון באיום המשמעותי של גישה לא מורשית עקב השתלטות בחשבון. סוג זה של התקפה מהווה סיכון ניכר, שכן אם תצליח, התוקפים עלולים להכניס שינויים זדוניים במוצרים ובספריות אחרות התלויות בחבילה שנפרצה. לכן, אימות דו-גורמי מוצג כאמצעי חיוני לשמירה על השלמות והאמון באקוסיסטם פיתוח התוכנה של Python, מניעת השלכות שליליות אפשריות הנגזרות מגישה לא מורשית ושינויים זדוניים בפרויקטים קריטיים.
בנוסף, המפתחים מזכירים כי האימות הדו-גורמי המועדף מבוסס על סכמה המשתמשת באסימוני חומרה התואמים למפרט FIDO U2F ולפרוטוקול WebAuthn. שיטה זו בולטת במתן רמת אבטחה גבוהה יותר בהשוואה ליצירת סיסמאות חד פעמיות. אסימוני חומרה, מיושרים עם FIDO U2F ו-WebAuthn, מציעים שכבת הגנה נוספת, ומשפרים את האבטחה בתהליך האימות.
בנוסף לאסימוני חומרה, ישנה אפשרות להשתמש ביישומי אימות המייצרים סיסמאות חד פעמיות ותומכות בפרוטוקול TOTP (Time-Based One-Time Password). דוגמאות ליישומים אלה כוללים Authy, Google Authenticator ו-FreeOTP. אפליקציות אלה מספקות חלופה מאובטחת נוספת לאימות דו-גורמי.
בעת הורדת חבילות, למפתחים מומלץ מאוד להשתמש בשיטת האימות הנקראת 'מפרסמים מהימנים'. שיטה זו מבוססת על תקן OpenID Connect (OIDC) או משתמשת באסימוני API. בחירה בגישה זו מסייעת לחזק את האבטחה באינטראקציות ועסקאות הקשורות להורדות חבילות, ומספקת רמה נוספת של אמון על ידי אימות המפרסמים המעורבים.
לבסוף, אם אתה מעוניין לדעת יותר על כך, אתה יכול לבדוק את פרטים בקישור הבא.