PyPI 需要 2FA
所有用户都需要双因素身份验证
现在是 2024 年 1 月 1 日,PyPI 现在要求 所有用户使用双因素身份验证 (2FA)。
这篇文章是对使这一切成为现实的艰苦工作的一种认可,也是对所有已在其帐户上启用 2FA 的用户的感谢。
这也提醒那些尚未启用 2FA 的人,您需要在执行任何管理操作或将文件上传到 PyPI 之前启用 2FA。
启用 2FA 后,您可以执行管理操作,包括生成 API 令牌 或设置 受信任的发布者(首选)来上传文件。
为什么我没有听说过这个?
我们非常重视向后兼容性,并尽最大努力保留我们广大用户社区所期望的行为。
我们已经谈论这件事有一段时间了,并且一直在努力使启用一种 2FA 形式变得更容易 - TOTP 或 WebAuthn(或两者!)。我们还试图非常积极地宣传即将发生的更改。
2022 年 7 月,PyPI 为下载量排名前 1% 的项目的合格维护者获得了 4,000 个硬件密钥赠送 的赞助,以在其 PyPI 帐户上启用 2FA。感谢 Google 开源安全团队!
我们在 PyPI 博客(这个!)上发布了文章来宣布此更改,其中一些文章被其他科技新闻网站转载。
以下是一些文章
- 通过双因素身份验证保护 PyPI 帐户
- upload.pypi.org 的 2FA 强制执行
- 新用户注册的 2FA 强制执行
- TestPyPI 的 2FA 强制执行
- PyPI 的 2FA 要求从 2024 年 1 月 1 日开始
我们在大多数文章中都附上了社交媒体帖子、其他博客和新闻聚合器的链接。
Mike Fiedler 是 PyPI 安全与安全工程师(也是本文的作者!),他与一些 Python 播客合作,进一步宣传此事。收听 RealPython 和 Talk Python 的节目。
2023 年 8 月,我们 开发了一个电子邮件活动,在用户将文件上传到 PyPI 后通知他们,这些用户尚未在其帐户上启用 2FA。
我们是怎么走到这一步的?
(如果存在任何不准确之处,请随时提交拉取请求进行更正!)
2019 年,PSF 收到了来自开放技术基金的赠款,用于提高 PyPI 的安全性。
以下是一些早于 PyPI 博客时代的文章
- 开始对 PyPI 进行安全性、可访问性和国际化改进
- 使用双因素身份验证来提高您的 PyPI 帐户的安全性
- PyPI 现在通过 WebAuthn 支持双因素登录
- PyPI 现在支持通过 API 令牌上传
- 开始在 PyPI 上使用 2FA 和 API 令牌
您可能还会喜欢来自我们实施合作伙伴 Trail of Bits 的这篇博客:2019 年如何正确使用 2FA
接下来会发生什么?
我们将继续改进 PyPI 的安全性,我们一直在寻求帮助。
如果您有兴趣提供帮助,请查看 PyPI 问题跟踪器 和 PSF 打包工作组的 fundables。
谢谢!
感谢所有已在其帐户上启用 2FA 的用户,您正在帮助使 PyPI 对每个人都更加安全。
感谢所有 PyPI 的贡献者以及构成 PyPI 的项目的维护者。感谢您的辛勤工作。❤️