2FA là một phương pháp bảo mật quản lý truy cập và nhận dạng yêu cầu hai hình thức nhận dạng.
Sau một năm rưỡi làm việc và có một số thay đổi dần dần, xác thực bắt buộc thông qua 2FA cuối cùng đã được giới thiệu một cách tổng thể đối với tất cả người dùng trong PyPI, kể từ giữa năm 2022, các nhà phát triển kho lưu trữ gói Python PyPI (Chỉ mục gói Python) đã công bố lộ trình chuyển đổi sang xác thực hai yếu tố bắt buộc cho các gói quan trọng.
Một năm sau thông báo nói trên (vào tháng 2023 năm XNUMX) Đã triển khai xác thực bắt buộc của hai yếu tố cho tất cả tài khoản người dùng mà họ duy trì tại thời điểm đó, ít nhất một dự án hoặc là thành viên của một tổ chức chọn các gói để bắt buộc sử dụng xác thực hai yếu tố.
Y Giờ đây, việc giới thiệu xác thực hai yếu tố bắt buộc đã được áp dụng cho tất cả cácos nói chung, do đó, do không kích hoạt xác thực hai yếu tố, giờ đây người dùng sẽ không thể tải tệp lên hoặc thực hiện các hành động liên quan đến việc quản lý dự án của họ.
Bài đăng này là sự ghi nhận công sức đã bỏ ra để biến điều này thành hiện thực và là lời cảm ơn tới tất cả người dùng đã kích hoạt 2FA trên tài khoản của họ.
Đó cũng là lời nhắc nhở đối với những người chưa kích hoạt 2FA rằng bạn sẽ cần phải làm như vậy trước khi có thể thực hiện bất kỳ hành động quản lý nào hoặc tải tệp lên PyPI.
Sau khi bật 2FA, bạn sẽ có thể thực hiện các hành động quản lý, bao gồm tạo mã thông báo API hoặc thiết lập nhà xuất bản đáng tin cậy (ưu tiên) để tải tệp lên.
Như đã lưu ý trong các bài viết trước, nhà phát triển kho lưu trữ Gói Python PyPI đã nhấn mạnh tầm quan trọng của việc triển khai xác thực hai yếu tố. Biện pháp này được đưa ra với mục đích cải thiện tính bảo mật trong quá trình phát triển và bảo vệ các dự án khỏi những thay đổi độc hại có thể xảy ra do rò rỉ thông tin xác thực. Xác thực hai yếu tố cung cấp lớp bảo vệ bổ sung, giảm thiểu rủi ro liên quan đến việc sử dụng mật khẩu dùng chung, lỗ hổng mật khẩu trên các trang web bị xâm phạm, các cuộc tấn công vào hệ thống cục bộ của nhà phát triển hoặc các chiến thuật lừa đảo xã hội.
Sự cần thiết phải tăng cường an ninh nằm ở mối đe dọa đáng kể về truy cập trái phép do chiếm đoạt tài khoản. Kiểu tấn công này tiềm ẩn rủi ro đáng kể vì nếu thành công, kẻ tấn công có thể đưa ra các thay đổi độc hại cho các sản phẩm và thư viện khác phụ thuộc vào gói bị xâm nhập. Do đó, xác thực hai yếu tố được coi là biện pháp thiết yếu để bảo vệ tính toàn vẹn và tin cậy trong hệ sinh thái phát triển phần mềm Python, ngăn ngừa các hậu quả tiêu cực tiềm ẩn do truy cập trái phép và các thay đổi độc hại đối với các dự án quan trọng.
Ngoài ra, các nhà phát triển còn đề cập rằng xác thực hai yếu tố ưu tiên dựa trên sơ đồ sử dụng mã thông báo phần cứng tương thích với thông số kỹ thuật FIDO U2F và giao thức WebAuthn. Phương pháp này nổi bật vì cung cấp mức độ bảo mật cao hơn so với việc tạo mật khẩu một lần. Mã thông báo phần cứng, được liên kết với FIDO U2F và WebAuthn, cung cấp lớp bảo vệ bổ sung, cải thiện tính bảo mật trong quy trình xác thực.
Ngoài mã thông báo phần cứng, còn có tùy chọn sử dụng các ứng dụng xác thực tạo mật khẩu một lần và hỗ trợ giao thức TOTP (Mật khẩu một lần dựa trên thời gian). Ví dụ về các ứng dụng này bao gồm Authy, Google Authenticator và FreeOTP. Các ứng dụng này cung cấp một giải pháp thay thế an toàn khác cho xác thực hai yếu tố.
Khi tải xuống các gói, nhà phát triển đặc biệt nên sử dụng phương thức xác thực có tên là 'Nhà xuất bản đáng tin cậy'. Phương pháp này dựa trên tiêu chuẩn OpenID Connect (OIDC) hoặc sử dụng mã thông báo API. Việc chọn phương pháp này giúp tăng cường bảo mật trong các tương tác và giao dịch liên quan đến tải xuống gói, cung cấp thêm mức độ tin cậy bằng cách xác thực các nhà xuất bản có liên quan.
Cuối cùng, Nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra chi tiết trong liên kết sau.