PyPI переходит на обязательную двухфакторную аутентификацию
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Разработчики репозитория Python-пакетов PyPI (Python Package Index) объявили о решении перевести все учётные записи пользователей, сопровождающих хотя бы один проект или входящих в курирующие пакеты организации, на обязательное применение двухфакторной аутентификации. Перевод планируют завершить до конца 2023 года. До намеченного срока будет проведено поэтапное ограничение доступной функциональности для разработчиков, не включивших двухфакторную аутентификацию. Кроме того, для отдельных категорий пользователей требование включения двухфакторной аутентификации будет применено заранее.
Применение двухфакторной аутентификации позволит усилить защиту процесса разработки и обезопасить проекты от внесения вредоносных изменений в результате утечки учётных данных, использования того же пароля на скомпрометированном сайте, взломов локальной системы разработчика или применения методов социального инжиниринга. Получение злоумышленниками доступа в результате захвата учётных записей является одной из наиболее опасных угроз, так как в случае успешной атаки может быть осуществлена подстановка вредоносных изменений в другие продукты и библиотеки, использующие скомпрометированный пакет в качестве зависимости.
В качестве предпочтительного способа двухфакторной аутентификации заявлена схема на базе совместимых со спецификацией FIDO U2F аппаратных токенов и протокола WebAuthn, которая позволяет добиться более высокого уровня безопасности по сравнению с генерацией одноразовых паролей. Кроме токенов также можно использовать приложения для аутентификации на базе одноразовых паролей, поддерживающих протокол TOTP, например, Authy, Google Authenticator и FreeOTP. При загрузке пакетов разработчикам дополнительно рекодмендовано перейти на использование метода аутентификации 'Trusted Publishers' на базе стандарта OpenID Connect (OIDC) или применять API-токены.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://blog.pypi.org/posts/20...)
- OpenNews: PyPI пересмотрит политику в отношении персональных данных и прекратит поддержку PGP-подписей
- OpenNews: PyPI из-за вредоносной активности приостановил регистрацию новых пользователей и проектов
- OpenNews: В PyPI реализована возможность публикации пакетов без привязки к паролям и токенам API
- OpenNews: Внедрение двухфакторной аутентификации в PyPI привело к инциденту с удалением популярного пакета
- OpenNews: В каталоге PyPI выявлены вредоносные библиотеки, использующие CDN PyPI для скрытия канала связи
Похожие новости:
- PyPI пересмотрит политику в отношении персональных данных и прекратит поддержку PGP-подписей
- PyPI из-за вредоносной активности приостановил регистрацию новых пользователей и проектов
- В PyPI реализована возможность публикации пакетов без привязки к паролям и токенам API
- В пакетах, размещённых в PyPI, выявлено 57 забытых ключей доступа к AWS
- GitHub объявил о внедрении в следующем году всеобщей двухфакторной аутентификации
- Packj - инструментарий для выявления вредоносных библиотек на языках Python и JavaScript
- В каталоге Python-пакетов PyPI выявлена вредоносная библиотека pymafka
- В каталоге Python-пакетов PyPI выявлены три вредоносные библиотеки
- Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mitmproxy-iframe
- 46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код
Теги для поиска: #_pypi, #_2fa
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 01:31
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Разработчики репозитория Python-пакетов PyPI (Python Package Index) объявили о решении перевести все учётные записи пользователей, сопровождающих хотя бы один проект или входящих в курирующие пакеты организации, на обязательное применение двухфакторной аутентификации. Перевод планируют завершить до конца 2023 года. До намеченного срока будет проведено поэтапное ограничение доступной функциональности для разработчиков, не включивших двухфакторную аутентификацию. Кроме того, для отдельных категорий пользователей требование включения двухфакторной аутентификации будет применено заранее. Применение двухфакторной аутентификации позволит усилить защиту процесса разработки и обезопасить проекты от внесения вредоносных изменений в результате утечки учётных данных, использования того же пароля на скомпрометированном сайте, взломов локальной системы разработчика или применения методов социального инжиниринга. Получение злоумышленниками доступа в результате захвата учётных записей является одной из наиболее опасных угроз, так как в случае успешной атаки может быть осуществлена подстановка вредоносных изменений в другие продукты и библиотеки, использующие скомпрометированный пакет в качестве зависимости. В качестве предпочтительного способа двухфакторной аутентификации заявлена схема на базе совместимых со спецификацией FIDO U2F аппаратных токенов и протокола WebAuthn, которая позволяет добиться более высокого уровня безопасности по сравнению с генерацией одноразовых паролей. Кроме токенов также можно использовать приложения для аутентификации на базе одноразовых паролей, поддерживающих протокол TOTP, например, Authy, Google Authenticator и FreeOTP. При загрузке пакетов разработчикам дополнительно рекодмендовано перейти на использование метода аутентификации 'Trusted Publishers' на базе стандарта OpenID Connect (OIDC) или применять API-токены. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 01:31
Часовой пояс: UTC + 5