新用户注册强制实施双重身份验证

发生了什么变化？

从今天开始，**新注册的用户必须在执行任何 PyPI 管理操作之前启用 2FA**。此更改是在我们为帐户添加了一条规则之后进行的，该规则要求帐户具有经过验证的主要电子邮件地址，以执行相同的管理操作集。

提醒一下，PyPI 自 2019 年起就支持添加 2FA。

此更改将继续沿着为所有用户强制实施 2FA 的道路前进。今年 5 月，我们宣布，到 2023 年底，PyPI 将要求所有用户启用双重身份验证 (2FA)。该帖子提供了大量有关执行强制的信息，以及用户如何在年底之前为更改做好准备。

管理操作可能包括以下任何一项

这不是一个详尽的列表，但应该可以很好地了解我们正在谈论的操作。

如果您只需要从 PyPI 浏览、下载和安装软件包，则不需要 PyPI 帐户，因此此更改不会影响您。

如果您已在 PyPI 帐户中启用 2FA，则此更改不会影响您。感谢您为维护 Python 生态系统的安全做出的贡献！

如果您最近注册了新的 PyPI 帐户，则您需要在执行任何管理操作之前启用 2FA。当您尝试执行管理操作时，您可能会看到页面顶部出现一个红色横幅，并被重定向到您的帐户的 2FA 设置页面。

您仍然可以登录、浏览和下载软件包而无需 2FA。但要执行任何管理操作，您需要启用 2FA。

提醒一下，我们将在 2023 年底对所有 PyPI 用户强制执行 2FA 要求。

这些更改旨在减轻诸如帐户接管之类的场景，在这些场景中，攻击者可能仅使用电子邮件和密码 (通过网络钓鱼或凭据填充) 来访问用户的帐户。如果用户的电子邮件帐户访问权限被盗，并且攻击者能够成功请求密码重置，攻击者仍然需要绕过 2FA 要求。

使用双重身份验证方法的用户越多，我们所有人的安全系数就越高。今天，PyPI 提供了基于时间的的一次性密码 (TOTP) 和WebAuthn 两种方法。

安全是一个频谱。只要我们继续取得逐步进展，我们就会改善 PyPI 的**所有用户**的整体态势。

Mike Fiedler 自 2023 年起担任 PyPI 安全与安全工程师。