Programeri repozitorija Python paketa PyPI (Python Package Index) najavili su uvođenje obavezne dvofaktorske autentifikacije za sve korisnike. Bez omogućavanja dvofaktorske provjere autentičnosti, korisnik sada neće moći učitavati datoteke i izvršavati radnje povezane s upravljanjem svojim projektom. Prethodno je dvofaktorska autentifikacija morala biti omogućena za korisničke račune koji održavaju barem jedan projekt ili su bili uključeni u nadzorne pakete organizacije.
Korištenje dvofaktorske autentifikacije poboljšat će zaštitu razvojnog procesa i zaštititi projekte od zlonamjernih promjena koje su rezultat curenja vjerodajnica, upotrebe iste lozinke na ugroženom mjestu, hakiranja lokalnog sustava programera ili upotrebe društvenih mreža inženjerske metode. Dobivanje pristupa od strane napadača kao rezultat preuzimanja računa jedna je od najopasnijih prijetnji, budući da se u slučaju uspješnog napada zlonamjerne promjene mogu umetnuti u druge proizvode i biblioteke koje koriste kompromitirani paket kao ovisnost.
Preferirana metoda dvofaktorske autentifikacije je shema koja se temelji na hardverskim tokenima kompatibilnim sa specifikacijom FIDO U2F i protokolom WebAuthn, koja omogućuje višu razinu sigurnosti u usporedbi s generiranjem jednokratnih zaporki. Osim tokena, također možete koristiti aplikacije za autentifikaciju jednokratne lozinke koje podržavaju TOTP protokol, kao što su Authy, Google Authenticator i FreeOTP. Prilikom preuzimanja paketa programerima se dodatno preporuča prebacivanje na metodu provjere autentičnosti 'Trusted Publishers' temeljenu na standardu OpenID Connect (OIDC) ili korištenje API tokena.
Izvor: opennet.ru
