The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В каталоге пакетов PyPI появилась поддержка двухфакторной аутентификации

31.05.2019 21:42

В PyPI, каталог пакетов для разработчиков на языке Python, добавлена поддержка двухфакторной аутентификации для защиты учётной записи на случай компрометации основного пароля. Возможность доступна для всех зарегистрированных пользователей каталога.

Из методов двухфакторной аутентификации пока поддерживаются только ограниченные по времени действия одноразовые пароли (TOTP), генерируемые при помощи специального мобильного приложения. Для генерации одноразовых паролей могут применяться приложения FreeOTP, FreeOTP+, Google Authenticator, Authy и Duo Mobile. В дальнейшем планируется реализовать поддержку ключей Yubikeys в качестве второго фактора проверки.

  1. Главная ссылка к новости (https://pythoninsider.blogspot...)
  2. OpenNews: Намечена большая чистка стандартной библиотеки Python
  3. OpenNews: В каталоге PyPI выявлены вредоносные пакеты
  4. OpenNews: Проект Python представил новый каталог пакетов PyPI и пакетный менеджер Pip 10
  5. OpenNews: В популярный NPM-модуль внедрено вредоносное ПО, копирующее параметры аутентификации
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: pypi, python
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (10) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, KaE (ok), 21:59, 31/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    А  СМС с кодом в качестве второго фактора проверки в PyPI не внедрили еще? Я думаю, что и проверка паспортных данных при регистрации на каталоге также пригодилась бы несомненно.
     
     
  • 2.3, Имя (?), 22:26, 31/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Бред. Многие хорошие программисты желают остаться анонимными. Яркий пример - Сатоши Накомото.
     
     
  • 3.4, пох. (?), 22:29, 31/05/2019 [^] [^^] [^^^] [ответить]  
  • –6 +/
    поэтому они радостно поставят на гуглезонд еще и зонд пиписек.

    малаццы, ананимы-ананимы. "Мало что известно о snowman-zombie, кроме, конечно, имени, фамилии, родословной, домашнего адреса, ssn number и любимого блюда (чизбургер, если вам тоже интересно)" (c)

     
     
  • 4.10, Аноним (10), 14:30, 03/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    AndOTP, FreeOTP+ – в чём зондовость? Можно хоть http://motp.sourceforge.net/ использовать (ещё пару лет назад я пользовался).
     
     
  • 5.11, пох. (?), 15:24, 03/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ну ты исходники-то уже проверил хоть одного из (я, если что, голосую за motp)?

    А то вон у мазилы "менеджер паролей" - и тот сливает телеметрию.


     
  • 2.5, Аноним (5), 22:42, 31/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Причём тут смс с кодом, паспортные данные и алгоритм 2FA никак не зависящий от устройства ?
     
     
  • 3.8, Аноним (8), 10:01, 01/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Во-первых, зависящий, ибо аттестация.
    Во-вторых, PSF вполне в тренде - им нужно факсом прислать паспорт. Иначе никакие правки в сам питон и его стандартную библиотеку не принимаются.
     

  • 1.6, Kuromi (ok), 03:21, 01/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Уныние. Тут все про WebAuthn говорят, а они опять TOTP сделали. Но все равно лучше чем ничего.
     
     
  • 2.7, Аноним (8), 09:58, 01/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    WebAuthn - анальный зонд. Спецификация с бекдором. Бекдор заключается в том, что ты обязан купить устройство аутентификации у одной из фирм, их производящих. А иначе будешь послан - там проверка как при удаленной аттестации TEE. Не прошло устройство аттестацию - такой пользователь адекватному сайту нежелателен, ишь чего удумал - не покупать у корпораций потенциально забекдоренные устройства и не увеличивать количество досиупной информации (стандарт приписывает, что каждая группа из 10000 устройств должна быть различима, в интернете 3e9 пользователей, пусть у трети из них есть токены -> 1e9/1e4=1e5 идентификаторов, 17 бит информации, 17 Карл!). Такому нищeбрoду всякую рекламируемую дрянь впарить нельзя, пакет дополнительных ненужных услуг он тоже не купит, а рекламу вообще заблокирует.
     

  • 1.9, Consta (?), 10:53, 01/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Строго говоря, TOTP это не двухфакторная аутентификация, а двухшаговая.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру