PyPI כבר הטמיע תמיכה ב-2FA

2fa

2FA היא שיטת אבטחה לניהול זהות וגישה הדורשת שתי צורות של זיהוי.

בשנה שעברה אנו חולקים את החדשות כאן בבלוג שהמפתחים של מאגר החבילות PyPI עבדו על מעבר PyPI לאימות חובה דו-גורמי עבור חבילות קריטיות.

הסיבה להזכיר זאת היא המעבר הושלם כבר לפני מספר ימים ובאמצעות הודעה, המפתחים גם הודיעו על ההחלטה להעביר את כל חשבונות המשתמש שמתחזקים לפחות פרויקט אחד או שהם חלק מארגון שבוחר חבילות לשימוש חובה באימות דו-גורמי.

Artaculo relacionado:
ב-PyPI כבר מתכוננים לאימות דו-גורמי ובתחילה כבר דווח על תקרית

שימוש באימות דו-גורמי (מוכר יותר בשם 2FA) זה בגלל המאגר תוכנה רשמית עבור Python, PyPI, הפך למטרה של מתקפות רבות לשרשרת האספקה ​​בשנים האחרונות, שבחלקן האקרים התפשרו על חשבונות תחזוקה כדי להחדיר קוד זדוני לפרויקטים.

בעת אכיפת 2FA עבור מנהלי פרויקטים, PyPI רוצה למנוע התקפות השתלטות על חשבון, ובכך להבטיח לקהילה שרק אנשים הקשורים לפרויקט יכולים להעלות, לשנות או להסיר קוד.

היום, כחלק מאותו מאמץ ארוך טווח להגן על המערכת האקולוגית של Python, אנו מכריזים שכל חשבון שמתוחזק על ידי כל פרויקט או ארגון ב- PyPI יצטרך להפעיל 2FA בחשבון שלהם עד סוף 2023.

מעתה ועד סוף השנה, PyPI יתחיל לקבל גישה לתכונות מסוימות באתר המבוססות על שימוש ב-2FA. כמו כן, נוכל להתחיל לבחור משתמשים או פרויקטים מסוימים ליישום מוקדם.

ככזה השימוש באימות דו-גורמי להגביר את ההגנה על תהליך הפיתוח וימנע מפרויקטים לבצע שינויים זדוניים כתוצאה מהדלפות של אישורים, שימוש באותה סיסמה באתר שנפגע, פריצה למערכת המקומית של המפתח או שימוש בשיטות הנדסה חברתית.

השגת גישה על ידי תוקפים כתוצאה מחטיפת חשבון היא אחד האיומים המסוכנים ביותר, שכן במקרה של התקפה מוצלחת, שינויים זדוניים יכולים להתחלף במוצרים וספריות אחרים המשתמשים בחבילה שנפרצה כתלות.

כשיטה המועדפת של אימות דו-גורמי, מוצהרת סכמה מבוססת אסימון התקני חומרה התומכים ב-FIDO U2F ובפרוטוקול WebAuthn, אשר מאפשר לך להשיג רמת אבטחה גבוהה יותר בהשוואה ליצירת סיסמאות חד פעמיות.

בנוסף לאסימונים, אתה יכול גם להשתמש באפליקציות אימות מבוססות סיסמה חד פעמיות התומכות בפרוטוקול TOTP, כגון Authy, Google Authenticator ו-FreeOTP. בעת הורדת חבילות, מפתחים מוזמנים גם לעבור לשיטת האימות 'מפרסמים מהימנים' המבוססת על תקן OpenID Connect (OIDC) או להשתמש באסימוני API.

למשתמשים רבים ככל הנראה יהיה חלון של שישה חודשים להחיל את אמצעי האימות הנוסף על החשבון שלהם, עם תוכניות להפיכת 2FA לחובה עד סוף השנה הנוכחית. הפוסט הרשמי בבלוג ממאגר Python מסביר יותר:

"בין עכשיו לסוף השנה, PyPI יתחיל לקבל גישה לתכונות אתר מסוימות המבוססות על שימוש ב-2FA. כמו כן, נוכל להתחיל לבחור משתמשים או פרויקטים מסוימים ליישום מוקדם."

יש לציין כי ככזה מעבר המשתמש מתוכנן להסתיים עד סוף 2023. לפני המועד האחרון, תהיה הגבלה מדורגת של פונקציונליות זמינה למפתחים שלא אפשרו אימות דו-גורמי. בנוסף, עבור קטגוריות מסוימות של משתמשים, הדרישה לאפשר אימות דו-גורמי תחול מראש.

לבסוף, אנו יכולים לומר שההחלטה של ​​PyPI להפוך את 2FA לחובה עבור כל המשתמשים שמתחזקים פרויקט או ארגון בפלטפורמה היא צעד בכיוון הנכון לשיפור האבטחה.

אם כן מעוניין לדעת יותר על זה, אתה יכול לבדוק את הפרטים בקישור הבא.


השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.