2FA é um método de segurança de gerenciamento de identidade e acesso que requer duas formas de identificação.
Ano passado nós compartilhamos a novidade aqui no blog que os desenvolvedores do repositório de pacotes PyPI estavam trabalhando na transição do PyPI para a autenticação obrigatória de dois fatores para pacotes críticos.
A razão para mencionar isso é que a transição já foi concluída há alguns dias E por meio de um comunicado, os desenvolvedores também anunciaram a decisão de mover todas as contas de usuário que mantêm pelo menos um projeto ou fazem parte de uma organização que seleciona pacotes para o uso obrigatório de autenticação de dois fatores.
Usando a autenticação de dois fatores (mais conhecido como 2FA) é porque o repositório software oficial para Python, PyPI, tornou-se alvo de inúmeros ataques à cadeia de suprimentos nos últimos anos, em alguns dos quais hackers comprometeram contas de manutenção para injetar códigos maliciosos em projetos.
Ao aplicar 2FA para mantenedores de projetos, PyPI quer impedir ataques de controle de contas, garantindo assim à comunidade que apenas as pessoas associadas a um projeto podem carregar, modificar ou remover o código.
Hoje, como parte desse esforço de longo prazo para proteger o ecossistema Python, anunciamos que todas as contas mantidas por qualquer projeto ou organização no PyPI precisarão habilitar o 2FA em suas contas até o final de 2023.
A partir de agora até o final do ano, o PyPI começará a obter acesso a determinados recursos do site com base no uso de 2FA. Além disso, podemos começar a selecionar determinados usuários ou projetos para aplicação antecipada.
Como tal, o uso de autenticação de dois fatores aumentar a proteção do processo de desenvolvimento e impedirá que os projetos façam alterações maliciosas como resultado de vazamentos de credenciais, usando a mesma senha em um site comprometido, invadindo o sistema local do desenvolvedor ou usando métodos de engenharia social.
Obter acesso por invasores como resultado do sequestro de conta é uma das ameaças mais perigosas, pois no caso de um ataque bem-sucedido, alterações maliciosas podem ser substituídas por outros produtos e bibliotecas que usam o pacote comprometido como dependência.
Como o método preferido de autenticação de dois fatores, um esquema baseado em token é declarado dispositivos de hardware que suportam FIDO U2F e o protocolo WebAuthn, que permite que você alcance um nível mais alto de segurança em comparação com a geração de senhas únicas.
Além de tokens, você também pode usar aplicativos autenticadores baseados em senha única que suportam o protocolo TOTP, como Authy, Google Authenticator e FreeOTP. Ao baixar pacotes, os desenvolvedores também são incentivados a mudar para o método de autenticação 'Trusted Publishers' com base no padrão OpenID Connect (OIDC) ou usar tokens de API.
Muitos usuários provavelmente terão uma janela de seis meses para aplicar a medida de autenticação adicionada à sua conta, com planos de tornar o 2FA obrigatório até o final deste ano. A postagem do blog oficial do repositório Python explica mais:
“Entre agora e o final do ano, o PyPI começará a obter acesso a determinados recursos do site com base no uso de 2FA. Além disso, podemos começar a selecionar determinados usuários ou projetos para uma aplicação antecipada.”
Deve-se mencionar que, como tal a transição do usuário está programada para ser concluída até o final de 2023. Antes do prazo, haverá uma restrição gradual da funcionalidade disponível para desenvolvedores que não ativaram a autenticação de dois fatores. Além disso, para determinadas categorias de usuários, o requisito para ativar a autenticação de dois fatores será aplicado antecipadamente.
Por fim, podemos dizer que a decisão do PyPI de tornar o 2FA obrigatório para todos os usuários que mantêm um projeto ou organização na plataforma é um passo na direção certa para melhorar a segurança.
Se você interessado em saber mais sobre isso, você pode verificar os detalhes no link a seguir.