Zhvilluesit e depove Python Package Index (PyPI) njoftuan zbatimin e autentifikimit të detyrueshëm me dy faktorë për të gjithë përdoruesit. Pa autentifikim me dy faktorë, përdoruesit nuk do të jenë më në gjendje të ngarkojnë skedarë ose të kryejnë veprime që lidhen me menaxhimin e projektit të tyre. Më parë, autentifikimi me dy faktorë ishte i detyrueshëm për llogaritë e përdoruesve që mirëmbanin të paktën një projekt ose ishin pjesë e një organizate që kuronte paketa.
Zbatimi i autentifikimit me dy faktorë do të forcojë sigurinë e procesit të zhvillimit dhe do të mbrojë projektet nga ndryshimet keqdashëse për shkak të rrjedhjes së kredencialeve, përdorimit të të njëjtit fjalëkalim në një faqe të kompromentuar, hakimit të sistemit lokal të zhvilluesit ose inxhinierisë sociale. Fitimi i aksesit nga sulmuesit përmes rrëmbimit të llogarisë është një nga kërcënimet më të rrezikshme, pasi një sulm i suksesshëm mund të injektojë ndryshime keqdashëse në produkte dhe librari të tjera që mbështeten në paketën e kompromentuar si një varësi.
Metoda e preferuar e vërtetimit me dy faktorë është një skemë e bazuar në tokenët harduerikë që përputhen me FIDO U2F dhe protokollin WebAuthn, i cili ofron një nivel më të lartë sigurie sesa gjenerimi i fjalëkalimeve njëpërdorimëshe. Përveç tokenëve, mund të përdoren edhe aplikacione vërtetimi të bazuara në fjalëkalime njëpërdorimëshe që mbështesin protokollin TOTP, të tilla si Authy, Google Authenticator dhe FreeOTP. Gjatë ngarkimit të paketave, zhvilluesve u rekomandohet gjithashtu të kalojnë në metodën e vërtetimit 'Botuesit e Besuar' bazuar në standardin OpenID Connect (OIDC) ose të përdorin tokenët API.
Burimi: opennet.ru
