日前才傳出因惡意專案過多,而暫停接受新用戶與專案的Python於上周宣布,將強制所有專案或組織的維護者在今年底以前啟用雙因素身分驗證(2FA)。

PyPI表示,該Python套件儲存庫最關鍵的安全承諾便是確保使用者所下載的任何內容,都是由該專案的相關人員所上傳或變更,以便從專案維護者就可辨識專案的安全性。然而,當維護者採用不安全的密碼,或是重覆使用已外洩的密碼,都會令他們及其專案成為駭客的攻擊目標。

其實PyPI在去年7月,就曾贈送免費的實體安全金鑰予該平臺上下載最熱門的前10%專案的維護者,然而,儘管PyPI的每一個帳號對駭客而言價值不一,但只要被危害的專案具有相依性,不論熱門與否,就可能危及使用者的電腦,甚至波及其它系統,在此一供應鏈攻擊愈來愈興盛的時代,PyPI決定強制要求所有維護者啟用2FA。

帳號接管攻擊過去在PyPI平臺上即曾發生過,駭客在取得維護者的帳號之後,即代為發布內含惡意程式的專案,並於受害者電腦上安裝與執行任意程式。PyPI說,2FA是一個可立即消除密碼外洩風險的方式。

另一方面,此一政策還能減少PyPI管理人員的負擔,因為過去他們經常要緊急調查與處理維護者遭竊的帳號。

PyPI建議該平臺的維護者最好立即啟用2FA,採用實體金鑰或驗證程式來驗證身分,並應透過Trusted Publisher或API令牌來上傳內容。

熱門新聞

Advertisement