Python paketų saugyklos PyPI (Python Package Index) kūrėjai paskelbė apie privalomo dviejų veiksnių autentifikavimo įvedimą visiems vartotojams. Neįjungus dviejų veiksnių autentifikavimo, vartotojas dabar negalės įkelti failų ir atlikti su projekto valdymu susijusių veiksmų. Anksčiau dviejų veiksnių autentifikavimas buvo priverstas įgalinti vartotojų abonementus, prižiūrinčius bent vieną projektą arba įtrauktą į organizacijos priežiūros paketus.
Dviejų veiksnių autentifikavimo naudojimas padidins kūrimo proceso apsaugą ir apsaugo projektus nuo kenkėjiškų pakeitimų, atsirandančių dėl nutekėjusių kredencialų, to paties slaptažodžio naudojimo pažeistoje svetainėje, įsilaužimo į kūrėjo vietinę sistemą arba socialinių tinklų naudojimo. inžineriniai metodai. Užpuolikų prieiga perėmus paskyrą yra viena iš pavojingiausių grėsmių, nes sėkmingos atakos atveju kenkėjiški pakeitimai gali būti įterpti į kitus produktus ir bibliotekas, kurios naudoja pažeistą paketą kaip priklausomybę.
Pageidautinas dviejų veiksnių autentifikavimo metodas yra schema, pagrįsta aparatūros žetonais, suderinamais su FIDO U2F specifikacija ir WebAuthn protokolu, kuris leidžia užtikrinti aukštesnį saugumo lygį, palyginti su vienkartinių slaptažodžių generavimu. Be tokenų, taip pat galite naudoti vienkartines slaptažodžio autentifikavimo programas, kurios palaiko TOTP protokolą, pvz., Authy, Google Authenticator ir FreeOTP. Atsisiunčiant paketus kūrėjams papildomai rekomenduojama pereiti prie „Patikimų leidėjų“ autentifikavimo metodo, pagrįsto OpenID Connect (OIDC) standartu arba naudoti API prieigos raktus.
Šaltinis: opennet.ru
