В блоге репозитория PyPI рассказали, что все пользователи, разрабатывающие хотя бы один проект, должны будут в обязательном порядке пользоваться двухфакторной аутентификацией. Полный переход на новые правила защиты планируется совершить к концу 2023 года.
PyPI начнёт ограничивать разработчиков, которые всё ещё не подключили двухфакторную защиту на свои аккаунты. Администраторы проекта не сообщают, как будут выбирать разработчиков и какие возможности сайта будут отключаться, если проигнорировать требования. При этом в блоге отметили, что определённые категории пользователей получат уведомления о переходе в первую очередь.
Также администрация PyPI подготовила подробные инструкции по подключению двухфакторной аутентификации. Разработчикам рекомендуют использовать физические USB-ключи, поддерживающие спецификацию FIDO U2F. К примеру, Yubikey, Google Titan или Thetis. Также можно использовать специальные приложения для генерации кодов и API-токены.
Руководство организации считает, что без дополнительной защиты злоумышленники могут получить контроль над аккаунтом разработчика и начать распространять заражённые пакеты или вносить изменения от имени пользователя. Такой сценарий особенно опасен для PyPI, так как пакеты из репозитория запускаются на сотнях тысяч машин по всему миру.
