Razvijalci repozitorija paketov Python PyPI (Python Package Index) so napovedali uvedbo obvezne dvofaktorske avtentikacije za vse uporabnike. Brez omogočanja dvostopenjske avtentikacije uporabnik zdaj ne bo mogel nalagati datotek in izvajati dejanj, povezanih z upravljanjem svojega projekta. Prej je bilo dvofaktorsko preverjanje pristnosti nujno omogočeno za uporabniške račune, ki vzdržujejo vsaj en projekt ali so vključeni v nadzorne pakete organizacije.
Uporaba dvostopenjske avtentikacije bo izboljšala zaščito razvojnega procesa in zaščitila projekte pred zlonamernimi spremembami, ki so posledica razkritih poverilnic, uporabe istega gesla na ogroženem spletnem mestu, vdiranja v razvijalčev lokalni sistem ali uporabe socialnih inženirske metode. Pridobitev dostopa s strani napadalcev zaradi prevzema računa je ena najnevarnejših groženj, saj se lahko v primeru uspešnega napada zlonamerne spremembe vnesejo v druge izdelke in knjižnice, ki uporabljajo ogroženi paket kot odvisnost.
Prednostna metoda dvofaktorske avtentikacije je shema, ki temelji na strojnih žetonih, združljivih s specifikacijo FIDO U2F in protokolom WebAuthn, ki omogoča višjo stopnjo varnosti v primerjavi z generiranjem enkratnih gesel. Poleg žetonov lahko uporabljate tudi aplikacije za preverjanje pristnosti z enkratnim geslom, ki podpirajo protokol TOTP, kot so Authy, Google Authenticator in FreeOTP. Pri prenosu paketov razvijalcem dodatno priporočamo, da preidejo na način preverjanja pristnosti 'Trusted Publishers', ki temelji na standardu OpenID Connect (OIDC) ali uporabijo žetone API.
Vir: opennet.ru
