2FA je varnostna metoda upravljanja identitete in dostopa, ki zahteva dve obliki identifikacije.
Lani delimo novice tukaj na blogu da razvijalci repozitorija paketov PyPI delajo na prehodu PyPI na obvezno dvofaktorsko avtentikacijo za kritične pakete.
Razlog za to omembo je, da tranzicija se je že zaključila pred dnevi In z objavo so razvijalci objavili tudi odločitev o selitvi vseh uporabniških računov, ki vzdržujejo vsaj en projekt ali so del organizacije, ki izbira pakete za obvezno uporabo dvofaktorske avtentikacije.
Uporaba dvostopenjske avtentikacije (bolj znan kot 2FA) je zato, ker repozitorij uradna programska oprema za Python, PyPI, je postala tarča številnih napadov v dobavno verigo v zadnjih letih, v nekaterih izmed njih so hekerji ogrozili vzdrževalne račune, da bi v projekte vbrizgali zlonamerno kodo.
Pri uveljavljanju 2FA za vzdrževalce projektov, PyPI želi preprečiti napade na prevzem računa, s čimer skupnosti zagotovite, da lahko samo osebe, povezane s projektom, naložijo, spremenijo ali odstranijo kodo.
Danes, kot del tega dolgoročnega prizadevanja za zaščito ekosistema Python, oznanjamo, da bo moral vsak račun, ki ga vzdržuje kateri koli projekt ali organizacija na PyPI, do konca leta 2 v svojem računu omogočiti 2023FA.
Od zdaj do konca leta bo PyPI začel pridobivati dostop do določenih funkcij spletnega mesta na podlagi uporabe 2FA. Prav tako lahko začnemo izbirati določene uporabnike ali projekte za zgodnjo prijavo.
Kot taka uporaba dvostopenjske avtentikacije povečati zaščito razvojnega procesa in bo preprečil, da bi projekti naredili zlonamerne spremembe zaradi uhajanja poverilnic, uporabe istega gesla na ogroženem mestu, vdora v lokalni sistem razvijalca ali uporabe metod socialnega inženiringa.
Pridobitev dostopa s strani napadalcev zaradi ugrabitve računa je ena najnevarnejših groženj, saj lahko v primeru uspešnega napada zlonamerne spremembe nadomestijo drugi izdelki in knjižnice, ki uporabljajo ogroženi paket kot odvisnost.
Kot prednostna metoda dvostopenjske avtentikacije je deklarirana je shema, ki temelji na žetonih strojne naprave, ki podpirajo FIDO U2F in protokol WebAuthn, ki omogoča doseganje višje stopnje varnosti v primerjavi z generiranjem enkratnih gesel.
Poleg žetonov lahko uporabljate tudi aplikacije za preverjanje pristnosti na podlagi enkratnega gesla, ki podpirajo protokol TOTP, kot so Authy, Google Authenticator in FreeOTP. Pri prenosu paketov razvijalce tudi spodbujamo, da preklopijo na metodo preverjanja pristnosti »Trusted Publishers«, ki temelji na standardu OpenID Connect (OIDC), ali uporabijo žetone API.
Številni uporabniki bodo verjetno imeli šestmesečno okno, da uporabijo dodani ukrep za preverjanje pristnosti v svojem računu, z načrti, da bo 2FA obvezna do konca tega leta. Uradna objava v spletnem dnevniku iz repozitorija Python pojasnjuje več:
»Med zdaj in koncem leta bo PyPI začel pridobivati dostop do določenih funkcij spletnega mesta na podlagi uporabe 2FA. Prav tako lahko začnemo izbirati določene uporabnike ali projekte za zgodnjo prijavo.”
Omeniti je treba, da kot taka prehod uporabnikov naj bi bil končan do konca leta 2023. Pred iztekom roka bo postopno omejevanje funkcionalnosti na voljo razvijalcem, ki niso omogočili dvofaktorske avtentikacije. Poleg tega bo za določene kategorije uporabnikov vnaprej veljala zahteva po omogočanju dvostopenjske avtentikacije.
Končno lahko rečemo, da je odločitev PyPI, da 2FA postane obvezna za vse uporabnike, ki vzdržujejo projekt ali organizacijo na platformi, korak v pravo smer za izboljšanje varnosti.
Če ste zanima več o tem, lahko preverite podrobnosti V naslednji povezavi.