Python套件索引(Python Package Index,簡稱PyPI)官方為了要提高Python套件下載的安全性,開始導入雙因素身份驗證,無論是在PyPI.org還是test.pypi.org,所有使用者都能啟用這項功能保護帳號。

現在PyPI支援的雙因素驗證方法只有一個,就是以應用程式產生有時間限制的一次性密碼。在設定雙因素驗證功能之前,使用者必須先為PyPI帳號驗證電子郵件信箱,當使用者在PyPI帳號啟用雙因素驗證後,往後的登入手續,就必須額外提供手機應用程式所生成的一次性密碼才能夠登入。

目前只有網站的登錄會觸發雙因素驗證程序,目的是為了保護專案的所有權,避免舊有程式碼版本遭刪除,或是帳戶受到接管,而套件上傳操作則不需要輸入一次性驗證碼。

目前官方正在開發基於WebAuthn的多因素身份驗證功能,將來可以讓使用者以Yubikeys作為第二登入因素,並且也會為套件上傳操作增加API金鑰,保護更多敏感操作。這項功能由開放技術基金(Open Technology Fund)資助,並由Python軟體基金會的套件工作小組協調建置。


Advertisement

更多 iThome相關內容