PyPI ha anunciado que todos los usuarios que mantienen un proyecto u organización en la plataforma ahora deben configurar la autenticación de dos factores en un esfuerzo por aumentar la seguridad.
Esto sigue las medidas anteriores establecidas por PyPI, que incluyen 2FA opcional, bloqueo de contraseñas comprometidas, soporte para tokens API y 2FA obligatorio para ciertos proyectos.
Esto ocurre solo unos días después de que se suspendieran algunos registros nuevos en la plataforma debido a un exceso de código malicioso, suplantación de identidad y otros problemas de seguridad.
2FA para PyPI
Es probable que muchos usuarios tengan una ventana de seis meses para aplicar la medida de autenticación adicional a su cuenta, con planes elaborados para hacer que 2FA sea obligatorio para fines de este año. El Pitón oficial del repositorio entrada en el blog explica más:
“Entre ahora y fin de año, PyPI comenzará a obtener acceso a ciertas funciones del sitio en función del uso de 2FA. Además, podemos comenzar a seleccionar ciertos usuarios o proyectos para una aplicación temprana”.
La publicación continúa detallando el método preferido de autenticación (dispositivos físicos), aunque las aplicaciones de autenticación y otros servicios siguen siendo compatibles. Las cargas también deben realizarse a través de editores de confianza o tokens API para garantizar una seguridad óptima.
Al plantearse la pregunta de por qué no se debería obligar a todos los usuarios a usar 2FA, PyPI dice: «una cuenta sin acceso a ningún proyecto no se puede usar para atacar a nadie 2, por lo que es un objetivo de muy bajo valor».
Entre las numerosas razones dadas para emplear la 2FA obligatoria, PyPI llama a GitHub por tomar medidas similares, así como por la financiación que permitió la contratación de un ingeniero de seguridad y protección de PyPI.
A medida que la autenticación de dos y múltiples factores se vuelve cada vez más importante para proteger las cuentas, muchos han señalado la autenticación basada en SMS por su menor seguridad y dependencia del servicio celular. Luego, está el lanzamiento gradual de claves de acceso sin contraseña, que poco a poco está cobrando fuerza después de un comienzo retrasado.