Pflicht zur Zwei-Faktor-Authentifzierung bei Paketmanager PyPI verschärft

Noch dieses Jahr mĂĽssen alle Projekte und Maintainer auf PyPI bei der Anmeldung auf 2FA umstellen.

In Pocket speichern vorlesen Druckansicht 8 Kommentare lesen
Magnifying,Glass,Enlarging,Malware,In,Computer,Machine,Code

(Bild: Balefire / Shutterstock.com)

Lesezeit: 2 Min.

Die Betreiber der Paket-Registry PyPI verschärfen die Pflicht zur Zwei-Faktor-Authentifizierung (2FA) und setzen eine Frist zur Aktivierung: Alle Projekte und Maintainer müssen 2FA spätestens bis Ende 2023 aktiviert haben.

Auf dem Python Package Index (PyPI) tummelt sich unzählige Software für Python. Doch immer wieder gelangt Schadcode in das Repository (kurz: Repo). Weil der Ursprung verseucht ist, können Supply-Chain-Attacken entstehen: Setzen weitere Projekte die infizierte Software ein, schleppen sie den Schadcode so immer weiter.

Jüngst sorgte die Schadcode-Problematik sogar dafür, dass die Verantwortlichen das Repo für alle neuen Projekte vorübergehend gesperrt haben. Um die Vertrauenswürdigkeit von Software-Projekten zu stärken, sodass wirklich nur legitime Entwickler Code hochladen dürfen, wollen die PyPI-Betreiber nun die Pflicht zur 2FA-Anmeldung vorantreiben. Das geht aus einem aktuellen Blog-Beitrag hervor.

Melden sich Entwickler mit aktivierter 2FA an, mĂĽssen sie neben ihrem Passwort noch einen 2FA-Code eingeben. Den erzeugt etwa eine Authenticator-App. Ist ein Angreifer im Besitz eines Entwickler-Passworts, reicht das zum Kapern eines Accounts dann nicht mehr aus.

Im Sommer 2022 führte PyPI die 2FA-Pflicht für rund 3500 kritische Projekte ein. Das Aktivieren von 2FA ist seit Mai 2019 möglich. Nun wird 2FA für alle Projekte und Maintainer verpflichtend. Die Aktivierung muss bis spätestens Ende 2023 geschehen. Die 2FA-Anmeldung gelingt dann etwa mit einem Yubikey oder dem Code aus einer Authenticator-App. Außerdem raten die Betreiber, den Upload über einen Trusted Publisher oder API Tokens durchzuführen.

(des)