Utviklerne av PyPI-pakkelageret Python gjort kjent nylig gjennom et innlegg et veikart for overgangen til autentisering Obligatorisk tofaktor for kritiske pakker.
Viktigheten bestemmes av antall nedlastinger og endringen vil gjelde kontoene til vedlikeholdere og prosjekteiere knyttet til topp 1% av pakkene i løpet av 6 måneder ved nedlastinger.
I motsetning til overgangen til RubyGems, NPM og GitHub tofaktorautentiseringsprosjekter, vil PyPI i utgangspunktet implementere et opplegg som involverer ønskelig bruk av et maskinvaretoken med tilgangsnøkler.
Som en grunn til anbefalt bruk av tokens og WebAuthn-protokollen, nevnes høyere sikkerhet sammenlignet med å generere engangspassord (muligheten til å bruke TOTP i stedet for tokens vil være tilgjengelig som et alternativ).
Tokens kan fås gratis, Vel, Google sponset initiativet og tildelte 4000 Titan-nøkler til prosjektet. Hver vedlikeholder kan be om to USB-C- eller USB-A-tokens gratis. Det andre tokenet sendes som en sikkerhetskopi i tilfelle hovedtokenet er ødelagt eller tapt, for å minimere risikoen for å miste tilgang til depotet og spare utviklere fra å måtte gå gjennom en vanskelig gjenopprettingsprosedyre.
dess~~POS=TRUNC, tokens kan bare sendes til Østerrike, Belgia, Canada, Frankrike, Tyskland, Italia, Japan, Spania, Sveits, Storbritannia og USA.
Ledsager fra andre land kan kjøpe uavhengig FIDO U2F-kompatible tokens som Yubikey og Thetis-tokens. Som et alternativ er det også mulig å bruke engangspassordbaserte autentiseringsapplikasjoner som støtter TOTP-protokollen, som Authy, Google Authenticator og FreeOTP, i stedet for et token.
Initiativet var ikke uten hendelser.fordi forfatteren av Atomicwrites-pakken, som har 6 millioner nedlastinger per måned og 38 millioner på 6 måneder, ønsket ikke å bytte til autentisering to-faktor og prøvde å tilbakestille nedlastingstelleren for å ekskludere pakken din fra den kritiske listen.
Å starte på nytt, fjernet først pakken og lastet deretter ned den nye versjonen, til dette punktet han Jeg forventet at slik manipulasjon bare ville tilbakestille telleren, men til utviklerens overraskelse ble alle gamle versjoner også fjernet fra depotet, noe som førte til problemer for prosjekter avhengige av biblioteket, som noen utviklere sammenlignet med hendelsen som følge av fjerningen av pakken fra venstre panel i NPM.
Problemet ble forverret av det faktum at etter fjerning, forfatteren av atomicwrites klarte ikke å laste ned de gamle versjonene, som ikke ble gjenopprettet før neste dag etter at PyPI-administratorene grep inn.
Etter hendelsen, Forfatteren av pakken bestemte seg for å slutte å utvikle atomicwrites og avskrive pakken. Begrunnelsen som er oppgitt er at han utvikler prosjektet som en hobby på fritiden og tilleggskravene som kompliserer arbeidet kompenserer ikke for tiden brukt på gratis vedlikehold av en så populær pakke.
Forfatteren av atomicwrites hevder at han heller vil bare skrive kode for moro skyld, og at ytterligere beskyttelse mot kapring av angripere kan tas vare på når du betaler for det.
Atomicwrites-biblioteket inneholder omtrent 200 linjer med kode og gir funksjoner for å skrive filer atomært. Som erstatning kan du bruke de vanlige kallene os.replace og os.rename (operasjonen koker ned til å skrive til en fil med et midlertidig navn og gi nytt navn til målfilen når den er klar).
Med over 350 000 pakker for øyeblikket i PyPI-depotet, vil tofaktorautentisering bli brukt på omtrent 3500 XNUMX pakker. Det er utarbeidet en egen side for å sjekke om en konto er inkludert i listen. Den nøyaktige datoen for inkludering av obligatorisk tofaktorautentisering er ennå ikke bestemt, dette forventes å skje i løpet av de kommende månedene.
Endelig hvis du er interessert i å vite mer om det, kan du sjekke detaljene i følgende lenke.