PyPI hat angekündigt, dass alle Benutzer, die ein Projekt oder eine Organisation auf der Plattform pflegen, nun eine Zwei-Faktor-Authentifizierung einrichten müssen, um die Sicherheit zu erhöhen.
Dies folgt auf frühere Maßnahmen von PyPI, einschließlich optionaler 2FA, Blockierung kompromittierter Passwörter, Unterstützung für API-Tokens und obligatorischer 2FA für bestimmte Projekte.
Dies geschieht nur wenige Tage, nachdem einige neue Registrierungen auf der Plattform aufgrund eines Übermaßes an bösartigem Code, Identitätsdiebstahl und anderen Sicherheitsbedenken ausgesetzt wurden.
2FA für PyPI
Viele Benutzer haben wahrscheinlich ein sechsmonatiges Zeitfenster, um die zusätzliche Authentifizierungsmaßnahme auf ihr Konto anzuwenden, und es gibt Pläne, 2FA bis Ende dieses Jahres verpflichtend einzuführen. Der Python Beamter des Repositorys Blogeintrag erklärt mehr:
„Bis zum Ende des Jahres wird PyPI damit beginnen, den Zugriff auf bestimmte Website-Funktionen basierend auf der 2FA-Nutzung zu sperren. Darüber hinaus beginnen wir möglicherweise damit, bestimmte Benutzer oder Projekte für eine frühzeitige Durchsetzung auszuwählen.“
Der Beitrag beschreibt weiterhin detailliert die bevorzugte Authentifizierungsmethode – physische Geräte – obwohl Authentifizierungs-Apps und andere Dienste weiterhin unterstützt werden. Auch Uploads sollten über vertrauenswürdige Herausgeber oder API-Token erfolgen, um optimale Sicherheit zu gewährleisten.
Auf die Frage, warum nicht alle Benutzer zur Verwendung von 2FA gezwungen werden sollten, sagt PyPI: „Ein Konto ohne Zugriff auf ein Projekt kann nicht zum Angriff auf irgendjemanden verwendet werden 2, daher ist es ein sehr geringes Angriffsziel.“
Zu den zahlreichen Gründen, die für den Einsatz der obligatorischen 2FA genannt werden, zählt PyPI, dass GitHub ähnliche Schritte unternahm und die Finanzierung ermöglichte, die die Einstellung eines PyPI-Sicherheitsingenieurs ermöglichte.
Da die Zwei- und Multi-Faktor-Authentifizierung für die Sicherung von Konten immer wichtiger wird, haben viele die SMS-basierte Authentifizierung aufgrund ihrer geringeren Sicherheit und der Abhängigkeit von Mobilfunkdiensten in Betracht gezogen. Dann gibt es die schrittweise Einführung passwortloser Passkeys, die nach einem verzögerten Start langsam an Bedeutung gewinnt.