快捷搜索:

您的位置:澳门新葡4473网站 > 热门贴子 > PyPI 已支持双因素认证,提升下载 Python 软件包安

PyPI 已支持双因素认证,提升下载 Python 软件包安

发布时间:2020-04-28 12:59编辑:热门贴子浏览(131)

    为了提升下载 Python 软件包的安全性,现已在 PyPI(Python 软件包仓库)中引入双因素身份验证(2FA)作为安全登录的选项。

    Python套件索引(Python Package Index,简称PyPI)官方为了要提高Python套件下载的安全性,开始导入双因素身份验证,无论是在PyPI.org还是test.pypi.org,所有使用者都能启用这项功能保护帐号。

    从今天开始,PyPI.org 和 test.pypi.org 均为所有用户提供了 2FA 的认证方式。他们鼓励项目维护者和所有者登录帐号并在帐号设置界面添加第二个验证因素。这将有助于提升其 PyPI 帐号的安全性,从而降低攻击者、垃圾邮件发送者和黑客获取帐号访问权限的风险。

    图片 1

    PyPI 目前仅支持一种 2FA 验证方法:通过基于时间的一次性密码(TOTP)应用程序生成代码。也就是说,在 PyPI 帐号上开启 2FA 认证后,必须提供 TOTP(以及用户名和密码)才能登录。

    现在PyPI支持的双因素验证方法只有一个,就是以应用程式产生有时间限制的一次性密码。在设定双因素验证功能之前,使用者必须先为PyPI帐号验证电子邮件信箱,当使用者在PyPI帐号启用双因素验证后,往后的登入手续,就必须额外提供手机应用程式所生成的一次性密码才能够登入。

    因此,要在 PyPI 上使用 2FA,我们需要配置应用程序(通常是手机应用程序) 以生成认证码。

    目前只有网站的登录会触发双因素验证程序,目的是为了保护专案的所有权,避免旧有代码版本遭删除,或是帐户受到接管,而套件上传操作则不需要输入一次性验证码。

    另外,在开启 2FA 认证之前,需要在 Test PyPI 和/或 PyPI 帐号上验证主电子邮件地址。当然,也可以在 “帐户设置”中执行此操作。

    目前官方正在开发基于WebAuthn的多因素身份验证功能,将来可以让使用者以Yubikeys作为第二登入因素,并且也会为套件上传操作增加API金钥,保护更多敏感操作。这项功能由开放技术基金(Open Technology Fund)资助,并由Python软件基金会的套件工作小组协调建置。

    虽然目前的 2FA 认证只支持 TOTP,但 Python 团队表示正在开发基于 WebAuthn 的多因素身份验证。所谓多因素,举个例子 —— 我们将可以使用 Yubikeys 作为第二个因素。团队还计划为上传软件包的过程添加 API 密钥,以及针对敏感的用户操作添加高级审计跟踪。更多细节在请查看进度报告。

    (文/开源中国)    

    本文由澳门新葡4473网站发布于热门贴子,转载请注明出处:PyPI 已支持双因素认证,提升下载 Python 软件包安

    关键词: