PyPI посилює перевірку користувачів після зміни пристрою авторизації

Розробники репозиторію Python-пакетів PyPI (Python Package Index) запровадили додаткову перевірку під час авторизації. Тепер від користувачів вимагають підтвердити вхід по e-mail у разі підключення з пристрою або браузера, з якого раніше не здійснювався вхід. Про це повідомляє блог PyPI.

Підтвердження по електронній пошті вимагається додатково до вже існуючої двофакторної аутентифікації, яка передбачає введення одноразового коду, крім звичайного логіну та паролю. Однак при використанні для аутентифікації ключів на базі WebAuthn або Passkeys додаткове підтвердження по e-mail не потрібно.

Причиною посилання перевірки названа необхідність додаткового захисту від фішингу. Нещодавно для обходу захисту за допомогою двофакторної аутентифікації хакери перейшли до застосування прозорого проксування трафіку з фішингових сайтів на реальний сайт pypi.org, через що у користувача створюється відчуття роботи з реальним каталогом PyPI. Сторінка входу також проксується і зловмисники контролюють не тільки введений пароль входу, але й відповідь на перевірочний запит.

Передбачається, що додатковий запит по e-mail захистить від компрометації у разі перехоплення одноразового коду та паролю, а також попередить розробників, які не використовували інший пристрій для авторизації. 

Якщо користувач отримав перевірочний лист, але не намагався увійти до каталогу PyPI, не слід переходити за посиланням. Якщо спроба входу була, але пристрій не змінювався, слід перевірити чи не була спроба входу через фішинговий сайт. У разі виявлення атаки треба терміново змінити пароль та перевірити активність в обліковому записі.

Нагадаємо, що не так давно хакери атакували Python-розробників, використовуючи фейковий сайт PyPI.