2FA là một phương pháp bảo mật quản lý truy cập và nhận dạng yêu cầu hai hình thức nhận dạng.
Năm ngoái chúng tôi chia sẻ tin tức ở đây trên blog rằng các nhà phát triển của kho lưu trữ gói PyPI đang làm việc để chuyển PyPI sang xác thực hai yếu tố bắt buộc cho các gói quan trọng.
Lý do đề cập đến điều này là quá trình chuyển đổi đã hoàn thành vài ngày trước Và thông qua một thông báo, các nhà phát triển cũng đã công bố quyết định di chuyển tất cả các tài khoản người dùng duy trì ít nhất một dự án hoặc là một phần của tổ chức chọn các gói để bắt buộc sử dụng xác thực hai yếu tố.
Sử dụng xác thực hai yếu tố (hay còn gọi là 2FA) là bởi vì kho lưu trữ phần mềm chính thức cho Python, PyPI, đã trở thành mục tiêu của nhiều cuộc tấn công đến chuỗi cung ứng trong những năm gần đây, trong đó một số tin tặc đã xâm phạm tài khoản bảo trì để đưa mã độc vào các dự án.
Khi thực thi 2FA cho những người bảo trì dự án, PyPI muốn ngăn chặn các cuộc tấn công chiếm đoạt tài khoản, do đó đảm bảo với cộng đồng rằng chỉ những người được liên kết với dự án mới có thể tải lên, sửa đổi hoặc xóa mã.
Hôm nay, là một phần trong nỗ lực lâu dài để bảo vệ hệ sinh thái Python, chúng tôi xin thông báo rằng mọi tài khoản được duy trì bởi bất kỳ dự án hoặc tổ chức nào trên PyPI sẽ cần kích hoạt 2FA trên tài khoản của họ vào cuối năm 2023.
Từ nay đến cuối năm, PyPI sẽ bắt đầu có quyền truy cập vào một số tính năng nhất định của trang web dựa trên việc sử dụng xác thực 2 yếu tố. Ngoài ra, chúng tôi có thể bắt đầu chọn một số người dùng hoặc dự án nhất định để áp dụng sớm.
Như vậy việc sử dụng xác thực hai yếu tố tăng cường bảo vệ quá trình phát triển và sẽ ngăn các dự án thực hiện các thay đổi độc hại do rò rỉ thông tin xác thực, sử dụng cùng một mật khẩu trên trang web bị xâm nhập, xâm nhập vào hệ thống cục bộ của nhà phát triển hoặc sử dụng các phương pháp kỹ thuật xã hội.
Giành được quyền truy cập của kẻ tấn công do chiếm đoạt tài khoản là một trong những mối đe dọa nguy hiểm nhất, vì trong trường hợp tấn công thành công, các thay đổi độc hại có thể được thay thế bằng các sản phẩm và thư viện khác sử dụng gói bị xâm nhập làm phụ thuộc.
Là phương pháp xác thực hai yếu tố ưa thích, một lược đồ dựa trên mã thông báo được khai báo thiết bị phần cứng hỗ trợ FIDO U2F và giao thức WebAuthn, cho phép bạn đạt được mức độ bảo mật cao hơn so với việc tạo mật khẩu một lần.
Ngoài mã thông báo, bạn cũng có thể sử dụng các ứng dụng xác thực dựa trên mật khẩu dùng một lần hỗ trợ giao thức TOTP, chẳng hạn như Authy, Google Authenticator và FreeOTP. Khi tải xuống các gói, các nhà phát triển cũng được khuyến khích chuyển sang phương thức xác thực 'Nhà xuất bản đáng tin cậy' dựa trên tiêu chuẩn OpenID Connect (OIDC) hoặc sử dụng mã thông báo API.
Nhiều người dùng có thể sẽ có khoảng thời gian sáu tháng để áp dụng biện pháp xác thực bổ sung cho tài khoản của họ, với các kế hoạch được đưa ra để bắt buộc 2FA vào cuối năm nay. Bài đăng trên blog chính thức từ kho lưu trữ Python giải thích thêm:
“Từ nay đến cuối năm, PyPI sẽ bắt đầu có quyền truy cập vào một số tính năng nhất định của trang web dựa trên việc sử dụng 2FA. Ngoài ra, chúng tôi có thể bắt đầu chọn một số người dùng hoặc dự án nhất định cho một ứng dụng sớm.”
Cần phải đề cập rằng như vậy quá trình chuyển đổi người dùng dự kiến sẽ hoàn thành vào cuối năm 2023. Trước thời hạn, chức năng sẽ bị hạn chế theo từng giai đoạn dành cho các nhà phát triển chưa kích hoạt xác thực hai yếu tố. Ngoài ra, đối với một số loại người dùng nhất định, yêu cầu kích hoạt xác thực hai yếu tố sẽ được áp dụng trước.
Cuối cùng, chúng tôi có thể nói rằng quyết định của PyPI về việc bắt buộc 2FA đối với tất cả người dùng duy trì một dự án hoặc tổ chức trên nền tảng là một bước đi đúng hướng để cải thiện tính bảo mật.
Nếu bạn là muốn biết thêm về nó, bạn có thể kiểm tra các chi tiết Trong liên kết sau đây.