PyPI, platformda bir proje veya kuruluş sürdüren tüm kullanıcıların güvenliği artırmak için artık iki faktörlü kimlik doğrulamayı kurması gerektiğini duyurdu.
Bu, isteğe bağlı 2FA, güvenliği ihlal edilmiş parolaları engelleme, API belirteçleri için destek ve belirli projeler için zorunlu 2FA dahil olmak üzere PyPI tarafından belirlenen önceki önlemleri takip eder.
Bu, aşırı miktarda kötü amaçlı kod, kimliğe bürünme ve diğer güvenlik endişelerinin ardından platformda bazı yeni kayıtların askıya alınmasından birkaç gün sonra gelir.
PyPI için 2FA
Bu yılın sonuna kadar 2FA’yı zorunlu hale getirmek için hazırlanan planlarla birlikte, birçok kullanıcının ek kimlik doğrulama önlemini hesaplarına uygulamak için altı aylık bir penceresi olması muhtemeldir. bu Piton depo yetkilisi Blog yazısı daha fazlasını açıklıyor:
“Bugün ile yıl sonu arasında PyPI, 2FA kullanımına dayalı olarak belirli site işlevlerine erişim sağlamaya başlayacak. Ayrıca, erken uygulama için belirli kullanıcıları veya projeleri seçmeye başlayabiliriz.”
Gönderi, tercih edilen kimlik doğrulama yöntemini (fiziksel cihazlar) detaylandırmaya devam ediyor, ancak kimlik doğrulama uygulamaları ve diğer hizmetler desteklenmeye devam ediyor. En iyi güvenliği sağlamak için yüklemeler güvenilir yayıncılar veya API belirteçleri aracılığıyla yapılmalıdır.
PyPI, neden tüm kullanıcıların 2FA kullanmaya zorlanmaması gerektiği sorusunu sorarken, “herhangi bir projeye erişimi olmayan bir hesap, kimseye 2 saldırmak için kullanılamaz, bu nedenle çok düşük değerli bir hedeftir” diyor.
Zorunlu 2FA’yı kullanmak için gösterilen sayısız neden arasında PyPI, GitHub’ı benzer adımlar atması ve bir PyPI Emniyet ve Güvenlik Mühendisinin işe alınmasını sağlayan fon sağlaması için çağırıyor.
Hesapların güvenliğini sağlamak için iki ve çok faktörlü kimlik doğrulama giderek daha önemli hale geldikçe, çoğu kişi düşük güvenliği ve hücresel hizmete bağlılığı nedeniyle SMS tabanlı kimlik doğrulamayı tercih etti. Ardından, gecikmeli bir başlangıçtan sonra yavaş yavaş ilgi uyandıran şifresiz geçiş anahtarlarının kademeli olarak piyasaya sürülmesi var.