PyPI a annoncé que tous les utilisateurs qui gèrent un projet ou une organisation sur la plate-forme doivent désormais mettre en place une authentification à deux facteurs afin d’accroître la sécurité.
Cela fait suite aux mesures précédentes définies par PyPI, notamment la 2FA facultative, le blocage des mots de passe compromis, la prise en charge des jetons API et la 2FA obligatoire pour certains projets.
Cela survient quelques jours seulement après la suspension de certains nouveaux enregistrements sur la plate-forme suite à un excès de code malveillant, d’usurpation d’identité et d’autres problèmes de sécurité.
2FA pour PyPI
De nombreux utilisateurs disposeront probablement d’une fenêtre de six mois pour appliquer la mesure d’authentification supplémentaire à leur compte, avec des plans élaborés pour rendre 2FA obligatoire d’ici la fin de cette année. Le Python officiel du dépôt article de blog explique plus :
« D’ici à la fin de l’année, PyPI commencera à bloquer l’accès à certaines fonctionnalités du site en fonction de l’utilisation de 2FA. De plus, nous pouvons commencer à sélectionner certains utilisateurs ou projets pour une application précoce.
Le message continue de détailler la méthode d’authentification préférée – les appareils physiques – bien que les applications d’authentification et d’autres services restent pris en charge. Les téléchargements doivent être effectués via des éditeurs de confiance ou des jetons d’API pour garantir également une sécurité optimale.
En se posant la question de savoir pourquoi tous les utilisateurs ne devraient pas être obligés d’utiliser 2FA, PyPI déclare : « un compte sans accès à aucun projet ne peut être utilisé pour attaquer qui que ce soit 2, c’est donc une cible de très faible valeur ».
Parmi les nombreuses raisons invoquées pour l’utilisation de la 2FA obligatoire, PyPI appelle GitHub pour avoir pris des mesures similaires, ainsi que le financement qui a permis l’embauche d’un ingénieur en sûreté et sécurité PyPI.
Alors que l’authentification à deux et plusieurs facteurs devient de plus en plus importante pour sécuriser les comptes, beaucoup ont prévu une authentification par SMS pour sa sécurité inférieure et sa dépendance au service cellulaire. Ensuite, il y a le déploiement progressif des clés d’accès sans mot de passe, qui gagne lentement du terrain après un démarrage retardé.