Das Repository Python Package Index (PyPI) zum Verwalten von Python-Paketen, die von Drittanbietern stammen, ermöglicht ab sofort den Zugriff über Zwei-Faktor-Authentifizierung (2FA). Auf die Weise wollen die Betreiber den unerlaubten Zugriff auf Repositorys unterbinden. Allerdings gilt der Schutz nicht für alle Vorgänge, sondern lediglich solche, die den Account direkt betreffen.

Ab sofort können Maintainer nach dem Einloggen auf ihrer Account-Seite einen zweiten Faktor für die Anmeldung aktivieren. Derzeit bietet PyPI ausschließlich Einmalkennwörter über einen Time-based One-time Password-Algorithmus (TOTP) an. Allerdings können die Nutzer zwischen unterschiedlichen Anwendungen wählen. Zum Start lassen sich FreeOTP beziehungsweise FreeOTP+, der Google Authenticator, Duo Mobile sowie Authy nutzen.

Schutz des Accounts, aber nicht des Codes

Die 2FA fällt lediglich für das Einloggen auf der Website an, um zu verhindern, dass Angreifer den Account übernehmen oder ältere Releases löschen. Das Hochladen von Paketen erfordert keinen zweiten Faktor. Damit schützt das System nicht vollständig vor der Kompromittierung, da es nach wie vor möglich ist, Schadcode in ein eigentlich vertrauenswürdiges Paket hochzuladen, wenn Hacker an die Zugangsdaten gelangen.

Die Betreiber des Repositorys haben haben den Zugriff im vergangenen Monat getestet und dabei wohl einige Bugs behoben. Falls Entwickler dennoch auf Probleme beim Zugriff über die Zwei-Faktor-Authentifizierung stoßen, sollen sie Informationen zu sicherheitsrelevanten Fehlern direkt in einer E-Mail an die PyPI-Betreiber schicken und Fehler ohne Security-Bezug als GitHub-Issue melden.

Weitere Details lassen sich dem PyPI-Blog entnehmen. Der Beitrag enthält einen Dank an den Open Technology Fund, der mit einem Zuschuss die Entwicklung der 2FA ermöglicht hat. Der als Anspielung auf den gleichnamigen Monty-Python-Sketch auch als Cheese Shop bezeichnete Python Package Index hatte erst vor einem Jahr die zugrundeliegende Warehouse-Software auf eine neue Codebasis umgestellt. (rme)