2FA es un método de seguridad de administración de identidad y acceso que requiere dos formas de identificación

El año pasado compartimos aquí en el blog la noticia de que los desarrolladores del repositorio de paquetes PyPI trabajaban en la transición de llevar PyPI a la autenticación obligatoria de dos factores para paquetes críticos.

La razón de mencionar esto, es que la transición ya fue completada hace pocos días y mediante un anuncio los desarrolladores tambien dieron a conocer la decisión de mover todas las cuentas de usuario que mantienen al menos un proyecto o son parte de una organización que selecciona paquetes para el uso obligatorio de la autenticación de dos factores.

El uso de la autenticación de dos factores (mejor conocido como 2FA) se debe a que el repositorio de software oficial para Python, PyPI, se ha convertido en el objetivo de numerosos ataques a la cadena de suministro en los últimos años, en algunos de los cuales los hackers comprometieron las cuentas de mantenimiento para inyectar código malicioso en los proyectos.

Al hacer cumplir 2FA para los mantenedores de proyectos, PyPI quiere evitar ataques de apropiación de cuentas, asegurando así a la comunidad que solo las personas asociadas con un proyecto pueden cargar, modificar o eliminar código.

Hoy, como parte de ese esfuerzo a largo plazo para proteger el ecosistema de Python, anunciamos que cada cuenta que mantenga cualquier proyecto u organización en PyPI deberá habilitar 2FA en su cuenta para fines de 2023.

Desde ahora hasta fin de año, PyPI comenzará a obtener acceso a ciertas funciones del sitio en función del uso de 2FA. Además, podemos comenzar a seleccionar ciertos usuarios o proyectos para la aplicación temprana.

Como tal el uso de la autenticación de dos factores aumentará la protección del proceso de desarrollo y evitará que los proyectos realicen cambios maliciosos como resultado de la filtración de credenciales, el uso de la misma contraseña en un sitio comprometido, la piratería del sistema local del desarrollador o el uso de métodos de ingeniería social.

Obtener acceso de los atacantes como resultado del secuestro de cuentas es una de las amenazas más peligrosas, ya que en caso de un ataque exitoso, los cambios maliciosos pueden sustituirse por otros productos y bibliotecas que usan el paquete comprometido como dependencia.

Como método preferido de autenticación de dos factores, se declara un esquema basado en tokens de hardware compatibles con FIDO U2F y el protocolo WebAuthn, que permite lograr un mayor nivel de seguridad en comparación con la generación de contraseñas de un solo uso.

Además de los tokens, también puede usar aplicaciones de autenticación basadas en contraseñas de un solo uso que admitan el protocolo TOTP, como Authy, Google Authenticator y FreeOTP. Al descargar paquetes, también se alienta a los desarrolladores a cambiar al método de autenticación de ‘ Editores de confianza ‘ basado en el estándar OpenID Connect (OIDC) o usar tokens API .

Es probable que muchos usuarios tengan una ventana de seis meses para aplicar la medida de autenticación adicional a su cuenta, con planes elaborados para hacer que 2FA sea obligatorio para fines de este año. La publicación de blog oficial del repositorio de Python explica más:

“Entre ahora y fin de año, PyPI comenzará a obtener acceso a ciertas funciones del sitio en función del uso de 2FA. Además, podemos comenzar a seleccionar ciertos usuarios o proyectos para una aplicación temprana”.

Cabe mencionar que como tal está previsto que la transición de los usuarios se complete a finales de 2023. Antes de la fecha límite, se llevará a cabo una restricción por etapas de la funcionalidad disponible para los desarrolladores que no hayan habilitado la autenticación de dos factores. Además, para determinadas categorías de usuarios, se aplicará previamente el requisito de habilitar la autenticación de dos factores.

Finalmente, podemos decir que la decisión de PyPI de hacer obligatoria la 2FA para todos los usuarios que mantienen un proyecto u organización en la plataforma es un paso en la dirección correcta para mejorar la seguridad.

Si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.