В PyPI введено подтверждение смены устройства, с которого осуществляется вход

15.11.2025 22:10

Разработчики репозитория Python-пакетов PyPI (Python Package Index) внедрили дополнительный этап проверки во время входа, требующий подтверждения операции по email в случае подключения с устройства или браузера, с которого раннее не производился вход. Подтверждение требуется в дополнение к имеющейся двухфакторной аутентификации, требующей ввода одноразового кода (TOTP - Time-based One-Time Password) помимо обычных учётных данных. При использовании в качестве второго фактора аутентификации ключей на базе технологий WebAuthn или Passkeys, дополнительное подтверждение по email не требуется.

В качестве причины добавления новой проверки называется усиление защиты от фишинга. С недавних пор для обхода защиты при помощи двухфакторной аутентификации атакующие перешли к применению прозрачного проксирования трафика с фишинговых сайтов на реальный сайт pypi.org, из-за чего у пользователя создаётся ощущение работы с реальным каталогом PyPI. Страница входа также проксируется и атакующие контролируют не только изначально введённый пароль входа, но и ответ на проверочный запрос второго фактора аутентификации.

Дополнительный запрос подтверждения полномочий с предупреждением о попытке входа с нового устройства предотвратит компрометацию в случае перехвата TOTP-кода и пароля, а также насторожит разработчиков, не менявших оборудование. В ходе проксирования атакующие могут перехватить параметры учётной записи и введённый одноразовый код TOTP, но не могут повлиять на подтверждение по еmail, требующее клика на указанной внутри письма ссылке.

Если пользователь получил проверочное письмо, но не пытался войти в каталог PyPI, то не следует переходить по ссылке. Если попытка входа была, но устройство не менялось, следует проверить не была ли попытка входа через фишинговый сайт и в случае выявления атаки срочно поменять пароль и проверить активность в учётной записи.

Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/64257-pypi
Ключевые слова: pypi
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (7) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 22:42, 15/11/2025 [ответить]  
    		• –1 +/
    Подтверждаю, ввели!
     
     
  • 2.5, кек (?), 00:37, 16/11/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    СЛОВНО
     

  • 1.2, мфя (?), 22:42, 15/11/2025 [ответить]  
    		• +1 +/
    вот у раста, го и прочих таких проблем меньше, и на их pi'ях логин не напоминает логин в банковском приложении.
    и все потому, что название сайта возможно воспроизвести в строке брафсера, если смог это произнести в голове.
    в случае с питоном же, я б, не посмотрев на "pi" в начале коммента, не вспомнила, что он не pipy.org.
    а на питоне я много писала
     
     
  • 2.3, Аноним (3), 23:00, 15/11/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Т.е. package index python? Ну, это дислексия, батенька.
     

  • 1.4, Аноним (4), 00:32, 16/11/2025 [ответить]  
    		• +1 +/
    >При использовании в качестве второго фактора аутентификации ключей на базе технологий WebAuthn или Passkeys, дополнительное подтверждение по email не требуется.

    Подстилки Майкрософта продолжают навязывать Windows Hello, ничего нового.

     
  • 1.6, Аноним (6), 00:43, 16/11/2025 [ответить]  
    		• +/
    Этого мало, за то что их братия допустила взломы npm, pypi и прочих крэйтев, разрабов надо только по физическому паспорту пускать, с устройства, занесенного в список.
     
  • 1.7, dir320 (?), 00:49, 16/11/2025 [ответить]  
    		• +/
    Не пользуюь. По старинке качаю файлы через wget, как с гитхабач так и с прочих помоек типа этой и npm.
     
     
  • 2.8, Аноним (8), 00:55, 16/11/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > Не пользуюь. По старинке качаю файлы через wget, как с гитхабач

    А, прости за подробности, гадить ты ходишь на улицу, где деды-прадеды выгребную ямку выкопали?
    Или по царски в ночную вазу?

     
