Vitin e kaluar ne i ndajmë lajmet këtu në blog se zhvilluesit e depove të paketave PyPI po punonin për kalimin e PyPI në vërtetimin e detyrueshëm me dy faktorë për paketat kritike.
Arsyeja e përmendjes së kësaj është se tranzicioni ka përfunduar tashmë disa ditë më parë Dhe përmes një njoftimi, zhvilluesit njoftuan gjithashtu vendimin për të zhvendosur të gjitha llogaritë e përdoruesve që mbajnë të paktën një projekt ose janë pjesë e një organizate që zgjedh paketat për përdorimin e detyrueshëm të vërtetimit me dy faktorë.
Përdorimi i vërtetimit me dy faktorë (i njohur më mirë si 2FA) është për shkak se depoja softuer zyrtar për Python, PyPI, është bërë cak i sulmeve të shumta në zinxhirin e furnizimit në vitet e fundit, në disa prej të cilave hakerat komprometuan llogaritë e mirëmbajtjes për të injektuar kode me qëllim të keq në projekte.
Kur zbatoni 2FA për mirëmbajtësit e projektit, PyPI dëshiron të parandalojë sulmet e marrjes së llogarisë, duke siguruar kështu komunitetin se vetëm njerëzit e lidhur me një projekt mund të ngarkojnë, modifikojnë ose heqin kodin.
Sot, si pjesë e asaj përpjekjeje afatgjatë për të mbrojtur ekosistemin Python, ne po njoftojmë se çdo llogari e mbajtur nga çdo projekt ose organizatë në PyPI do të duhet të aktivizojë 2FA në llogarinë e tyre deri në fund të 2023.
Që tani deri në fund të vitit, PyPI do të fillojë të fitojë akses në veçori të caktuara të faqes bazuar në përdorimin e 2FA. Gjithashtu, mund të fillojmë përzgjedhjen e përdoruesve ose projekteve të caktuara për aplikim të hershëm.
Si i tillë përdorimi i vërtetimit me dy faktorë rrisin mbrojtjen e procesit të zhvillimit dhe do të parandalojë që projektet të bëjnë ndryshime me qëllim të keq si rezultat i rrjedhjeve të kredencialeve, duke përdorur të njëjtin fjalëkalim në një sajt të komprometuar, duke hakuar në sistemin lokal të zhvilluesit ose duke përdorur metoda të inxhinierisë sociale.
Fitimi i aksesit nga sulmuesit si rezultat i rrëmbimit të llogarisë është një nga kërcënimet më të rrezikshme, pasi në rast të një sulmi të suksesshëm, ndryshimet me qëllim të keq mund të zëvendësohen nga produkte dhe biblioteka të tjera që përdorin paketën e komprometuar si një varësi.
Si metoda e preferuar e vërtetimit me dy faktorë, deklarohet një skemë e bazuar në token pajisjet harduerike që mbështesin FIDO U2F dhe protokollin WebAuthn, të cilat ju lejon të arrini një nivel më të lartë sigurie në krahasim me gjenerimin e fjalëkalimeve një herë.
Përveç argumenteve, mund të përdorni gjithashtu aplikacione vërtetuese të bazuara në fjalëkalim një herë që mbështesin protokollin TOTP, si Authy, Google Authenticator dhe FreeOTP. Gjatë shkarkimit të paketave, zhvilluesit gjithashtu inkurajohen të kalojnë në metodën e vërtetimit të 'Botuesve të besuar' bazuar në standardin OpenID Connect (OIDC) ose të përdorin tokenat API.
Shumë përdorues ka të ngjarë të kenë një dritare gjashtëmujore për të aplikuar masën e shtuar të vërtetimit në llogarinë e tyre, me planet e hartuara për ta bërë të detyrueshëm 2FA deri në fund të këtij viti. Postimi zyrtar i blogut nga depoja e Python shpjegon më shumë:
“Ndërmjet tani dhe fundit të vitit, PyPI do të fillojë të fitojë akses në veçori të caktuara të faqes bazuar në përdorimin e 2FA. Gjithashtu, ne mund të fillojmë përzgjedhjen e përdoruesve ose projekteve të caktuara për një aplikim të hershëm.”
Duhet përmendur se si e tillë Tranzicioni i përdoruesve është planifikuar të përfundojë deri në fund të vitit 2023. Përpara afatit, do të ketë një kufizim me faza të funksionalitetit të disponueshëm për zhvilluesit që nuk kanë aktivizuar vërtetimin me dy faktorë. Përveç kësaj, për disa kategori përdoruesish, kërkesa për të aktivizuar vërtetimin me dy faktorë do të zbatohet paraprakisht.
Së fundi, mund të themi se vendimi i PyPI për ta bërë 2FA të detyrueshëm për të gjithë përdoruesit që mbajnë një projekt ose organizatë në platformë është një hap në drejtimin e duhur për të përmirësuar sigurinë.
Dremitje të interesuar të dinë më shumë për të, ju mund të kontrolloni detajet Në lidhjen vijuese.