Python组件索引服务PyPI现提供帐号双因素身份验证

Python组件索引(Python Package Index,简称PyPI)官方为了要提高Python组件下载的安全性,开始导入双因素身份验证,无论是在PyPI.org还是test.pypi.org,所有用户都能激活这项功能保护帐号。

现在PyPI支持的双重验证方法只有一个,就是以应用程序产生有时间限制的一次性密码。在设置双重验证功能之前,用户必须先为PyPI帐号验证电子邮件信箱,当用户在PyPI帐号激活双重验证后,往后的登录手续,就必须额外提供手机应用程序所生成的一次性密码才能够登录。

目前只有网站的登录会触发双重验证程序,目的是为了保护项目的所有权,避免旧有程序代码版本遭删除,或是账户受到接管,而组件上传操作则不需要输入一次性验证码。

目前官方正在开发基于WebAuthn的多因素身份验证功能,将来可以让用户以Yubikeys作为第二登录因素,并且也会为组件上传操作增加API密钥,保护更多敏感操作。这项功能由开放技术基金(Open Technology Fund)资助,并由Python软件基金会的组件工作小组协调构建。