为了提升下载 Python 软件包的安全性,现已在 PyPI(Python 软件包仓库)中引入双因素身份验证(2FA)作为安全登录的选项。 从今天开始,PyPI.org 和 test.pypi.org 均为所有用户提供了 2FA 的认证方式。他们鼓励项目维护者和所有者登录帐号并在帐号设置界面添加第二个验证因素。这将有助于提升其 PyPI 帐号的安全性,从而降低攻击者、垃圾邮件发送者和黑客获取帐号访问权限的风险。 PyPI 目前仅支持一种 2FA 验证方法:通过基于时间的一次性密码(TOTP)应用程序生成代码。也就是说,在 PyPI 帐号上开启 2FA 认证后,必须提供 TOTP(以及用户名和密码)才能登录。 因此,要在 PyPI 上使用 2FA,我们需要配置应用程序(通常是手机应用程序) 以生成认证码。 虽然目前的 2FA 认证只支持 TOTP,但 Python 团队表示正在开发基于 WebAuthn 的多因素身份验证。所谓多因素,举个例子 —— 我们将可以使用 Yubikeys 作为第二个因素。团队还计划为上传软件包的过程添加 API 密钥,以及针对敏感的用户操作添加高级审计跟踪。更多细节在请查看进度报告。 |
