PyPI vs. Malware: 2FA demnächst für alle Entwickler verpflichtend

Das quelloffene Repository für Python-Projekte (PyPI) hatte in letzter Zeit immer mehr mit Malware zu kämpfen. Nachdem die Verwalter neue Anmeldungen unterbunden haben, wurde nun angekündigt, dass alle Entwickler ihre Konten bis Ende 2023 stärker sichern müssen. Wer ein Paket im Python Package Index (PyPI) bereitstellen möchte, muss zukünftig eine Zwei-Faktor-Authentifizierung (2FA) nutzen. Damit wird neben dem Passwort ein Einmal-Code, der auf Basis eines zuvor geteilten Schlüssels und der aktuellen Uhrzeit berechnet wird, zum Einloggen benötigt. Die Maßnahme tritt laut Bleeping Computer am Ende des Jahres in Kraft und soll verhindern, dass Accounts kompromittiert und zur Verbreitung von Malware verwendet werden. Das ist in der Vergangenheit immer wieder vorgekommen. Infografik Account-Sicherheit: Die Hälfte der Deutschen nutzt 2FA Erst vor einer Woche hatten die Verwalter von PyPI die Registrierung von neuen Accounts vorübergehend gesperrt. Somit können momentan keine weiteren Projekte auf der Plattform angeboten werden. Dieser Schritt soll verhindern, dass Angreifer neue Konten erstellen und Schadcode hochladen. Das quelloffene Repository hatte in letzter Zeit besonders mit schädlichen Paketen zu kämpfen. Bestehende Nutzer sind von der Maßnahme nicht betroffen und können sich weiterhin einloggen.

2FA bereits für kritische Projekte erforderlich

Bereits im Sommer 2022 hatten die Verwalter von PyPI angekündigt, dass Entwickler kritischer Projekte 2FA einrichten müssen. Hierfür wurden in Zusammenarbeit mit Google 4000 kostenlose Hardware-Sicherheitsschlüssel angeboten. Als kritisch wird das eine Prozent an Paketen mit den meisten Downloads angesehen. Einige Entwickler haben die 2FA-Pflicht jedoch kritisiert, da sie ihren Code ohnehin kostenlos anbieten und sich nicht mit der Sicherheit der Versorgungskette beschäftigen möchten.


Siehe auch: