前天,Python的核心開發團隊宣佈PyPI現在提供雙因素身份驗證(2FA),以提高Python包下載的安全性,從而降低未經授權的帳戶訪問的風險。該團隊宣佈將在Python Package Index中引入雙因素身份驗證作爲登錄安全選項。
該團隊在官方博客上寫道:“我們鼓勵項目維護人員和所有者登錄並轉到他們的帳戶設置以添加第二個驗證因素”。
博客還提到,這個項目是“開放式技術基金”的資助,由Python軟件基金會的包工作組協調。
PyPI目前支持單個2FA方法,該方法通過基於時間的一次性密碼(TOTP)應用程序生成代碼。用戶在PyPI帳戶上設置2FA後,必須提供TOTP(以及您的用戶名和密碼)才能登錄。因此,要在PyPI上使用2FA,用戶需要提供應用程序(通常是手機應用程序)爲了生成驗證碼。
目前,僅支持TOTP作爲2FA方法。此外,2FA僅影響通過網站登錄,從而防止惡意更改項目所有權,刪除舊版本和帳戶接管。如果沒有提供2FA代碼,套餐上傳將繼續有效。
開發人員表示他們正在開發基於WebAuthn的多因素身份驗證,例如,這將允許使用Yubikeys作爲您的第二個因素。他們還計劃爲包上傳添加API密鑰,以及敏感用戶操作的高級審計跟蹤。
要了解有關正在進行的安全措施的更多信息,請訪問Python的官方博客文章。