Os desenvolvedores do repositório de pacotes PyPI Python tornado conhecido recentemente por meio de uma postagem um roteiro para a transição para autenticação Dois fatores obrigatórios para pacotes críticos.
A importância é determinada pelo número de downloads e a mudança será aplicada às contas de mantenedores e proprietários de projetos associados aos 1% melhores pacotes em 6 meses por downloads.
Ao contrário da transição para os projetos de autenticação de dois fatores RubyGems, NPM e GitHub, o PyPI implementará inicialmente um esquema que envolve o uso desejável de um token de hardware com chaves de acesso.
Como motivo para o uso recomendado de tokens e o protocolo WebAuthn, a segurança mais alta é mencionada em comparação com a geração de senhas de uso único (a capacidade de usar TOTP em vez de tokens estará disponível como opção).
Tokens podem ser obtidos gratuitamente, Bem, o Google patrocinou a iniciativa e alocou 4000 chaves Titan para o projeto. Cada mantenedor pode solicitar gratuitamente dois tokens USB-C ou USB-A. O segundo token é enviado como backup caso o token principal seja quebrado ou perdido, para minimizar o risco de perder o acesso ao repositório e evitar que os desenvolvedores tenham que passar por um difícil procedimento de recuperação.
Infelizmente, tokens só podem ser enviados para Áustria, Bélgica, Canadá, França, Alemanha, Itália, Japão, Espanha, Suíça, Reino Unido e EUA.
Acompanhantes de outros países podem comprar de forma independente Tokens compatíveis com FIDO U2F, como tokens Yubikey e Thetis. Como alternativa, também é possível usar aplicativos de autenticação baseados em senha de uso único que suportam o protocolo TOTP, como Authy, Google Authenticator e FreeOTP, em vez de um token.
A iniciativa não foi sem incidentes.Porque o autor do pacote Atomicwrites, que tem 6 milhões de downloads por mês e 38 milhões em 6 meses, não queria mudar para autenticação dois fatores e tentei redefinir o contador de downloads para excluir seu pacote da lista crítica.
Reiniciar, primeiro removeu o pacote e depois baixou a nova versão, até este ponto ele Eu esperava que tal manipulação apenas zerasse o contador, mas para surpresa do desenvolvedor, todas as versões antigas também foram removidas do repositório, levando a problemas para projetos dependentes de biblioteca, que alguns desenvolvedores compararam ao incidente resultante da remoção do pacote do painel esquerdo no NPM.
O problema foi agravado pelo fato de que, após a remoção, o autor do atomicwrites não conseguiu baixar as versões antigas, que não foram restauradas até o dia seguinte após a intervenção dos administradores do PyPI.
Após o incidente, o autor do pacote decidiu parar de desenvolver atomicwrites e deprecie o pacote. A razão dada é que ele desenvolve o projeto como hobby nas horas vagas e os requisitos adicionais que complicam o trabalho não compensam o tempo gasto na manutenção gratuita de um pacote tão popular.
O autor do atomicwrites argumenta que ele prefere apenas escrever código por diversão, e que a proteção adicional contra o seqüestro por invasores pode ser feita quando você paga por isso.
A biblioteca atomicwrites contém cerca de 200 linhas de código e fornece funções para escrever arquivos atomicamente. Como substituto, você pode usar as chamadas regulares os.replace e os.rename (a operação se resume a gravar em um arquivo com um nome temporário e renomear o arquivo de destino quando estiver pronto).
Com mais de 350 pacotes atualmente no repositório PyPI, a autenticação de dois fatores será aplicada a aproximadamente 000 pacotes. Uma página especial foi preparada para verificar se uma conta está incluída na lista. A data exata para a inclusão da autenticação obrigatória de dois fatores ainda não foi determinada, espera-se que isso aconteça nos próximos meses.
Finalmente se você estiver interessado em saber mais sobre isso, você pode verificar os detalhes no link a seguir