PyPI宣布2FA用于提高Python包下载安全性

文章由LinuxBoy分享于2019-06-02 11:06:15热评（66）

前天，Python的核心开发团队宣布PyPI现在提供双因素身份验证(2FA)，以提高Python包下载的安全性，从而降低未经授权的帐户访问的风险。该团队宣布将在Python Package Index中引入双因素身份验证作为登录安全选项。

该团队在官方博客上写道：“我们鼓励项目维护人员和所有者登录并转到他们的帐户设置以添加第二个验证因素”。

博客还提到，这个项目是“开放式技术基金”的资助，由Python软件基金会的包工作组协调。

PyPI目前支持单个2FA方法，该方法通过基于时间的一次性密码（TOTP）应用程序生成代码。用户在PyPI帐户上设置2FA后，必须提供TOTP（以及您的用户名和密码）才能登录。因此，要在PyPI上使用2FA，用户需要提供应用程序（通常是手机应用程序）为了生成验证码。

目前，仅支持TOTP作为2FA方法。此外，2FA仅影响通过网站登录，从而防止恶意更改项目所有权，删除旧版本和帐户接管。如果没有提供2FA代码，套餐上传将继续有效。

开发人员表示他们正在开发基于WebAuthn的多因素身份验证，例如，这将允许使用Yubikeys作为您的第二个因素。他们还计划为包上传添加API密钥，以及敏感用户操作的高级审计跟踪。

要了解有关正在进行的安全措施的更多信息，请访问Python的官方博客文章。

https://www.linuxboy.net/topicnews.aspx?tid=17

linuxboy的RSS地址：https://www.linuxboy.net/rssFeed.aspx

本文永久更新链接地址：https://www.linuxboy.net/Linux/2019-06/158894.htm

推荐文章：