[ON] В PyPI введено подтверждение смены устройства, с которого осуществляется вход

Обсуждение новостей, соответствующих тематике форума

Модератор: Модераторы разделов

Аватара пользователя
rssbot
Бот
Сообщения: 6001
ОС: gnu/linux

[ON] В PyPI введено подтверждение смены устройства, с которого осуществляется вход

Сообщение rssbot »

Разработчики репозитория Python-пакетов PyPI (Python Package Index) внедрили дополнительный этап проверки во время входа, требующий подтверждения операции по email в случае подключения с устройства или браузера, с которого раннее не производился вход. Подтверждение требуется в дополнение к имеющейся двухфакторной аутентификации, требующей ввода одноразового кода (TOTP - Time-based One-Time Password) помимо обычных учётных данных. При использовании в качестве второго фактора аутентификации ключей на базе технологий WebAuthn или Passkeys, дополнительное подтверждение по email не требуется.





В качестве причины добавления новой проверки называется усиление защиты от фишинга. С недавних пор для обхода защиты при помощи двухфакторной аутентификации атакующие перешли к применению прозрачного проксирования трафика с фишинговых сайтов на реальный сайт pypi.org, из-за чего у пользователя создаётся ощущение работы с реальным каталогом PyPI. Страница входа также проксируется и атакующие контролируют не только изначально введённый пароль входа, но и ответ на проверочный запрос второго фактора аутентификации.


Дополнительный запрос подтверждения полномочий с предупреждением о попытке входа с нового устройства предотвратит компрометацию в случае перехвата TOTP-кода и пароля, а также насторожит разработчиков, не менявших оборудование. В ходе проксирования атакующие могут перехватить параметры учётной записи и введённый одноразовый код TOTP, но не могут повлиять на подтверждение по еmail, требующее клика на указанной внутри письма ссылке.


Если пользователь получил проверочное письмо, но не пытался войти в каталог PyPI, то не следует переходить по ссылке. Если попытка входа была, но устройство не менялось, следует проверить не была ли попытка входа через фишинговый сайт и в случае выявления атаки срочно поменять пароль и проверить активность в учётной записи.



Источник: https://www.opennet.ru/opennews/art.shtml?num=64257
(opennet.ru, основная лента)
Спасибо сказали:
Вернуться к началу

Вернуться в «Новости»