PyPI將強制要求所有軟體出版商使用2FA

日前才傳出因惡意專案過多，而暫停接受新用戶與專案的Python於上周宣布，將強制所有專案或組織的維護者在今年底以前啟用雙因素身分驗證（2FA）。

PyPI表示，該Python套件儲存庫最關鍵的安全承諾便是確保使用者所下載的任何內容，都是由該專案的相關人員所上傳或變更，以便從專案維護者就可辨識專案的安全性。然而，當維護者採用不安全的密碼，或是重覆使用已外洩的密碼，都會令他們及其專案成為駭客的攻擊目標。

其實PyPI在去年7月，就曾贈送免費的實體安全金鑰予該平臺上下載最熱門的前10%專案的維護者，然而，儘管PyPI的每一個帳號對駭客而言價值不一，但只要被危害的專案具有相依性，不論熱門與否，就可能危及使用者的電腦，甚至波及其它系統，在此一供應鏈攻擊愈來愈興盛的時代，PyPI決定強制要求所有維護者啟用2FA。

帳號接管攻擊過去在PyPI平臺上即曾發生過，駭客在取得維護者的帳號之後，即代為發布內含惡意程式的專案，並於受害者電腦上安裝與執行任意程式。PyPI說，2FA是一個可立即消除密碼外洩風險的方式。

另一方面，此一政策還能減少PyPI管理人員的負擔，因為過去他們經常要緊急調查與處理維護者遭竊的帳號。

PyPI建議該平臺的維護者最好立即啟用2FA，採用實體金鑰或驗證程式來驗證身分，並應透過Trusted Publisher或API令牌來上傳內容。