PyPI 宣布对所有软件发布者强制使用 2FA 登录验证

Python 编程语言软件存储库 PyPI 在官方博客中宣布：在 PyPI 上维护任何项目或组织的帐户，都需要在 2023 年底之前启用 2FA双因素身份验证，否则该帐号将无法登录。

在 4 月，PyPI 引入了 “可信发布” 机制，这是一种新的、更安全的发布方法，不需要与外部系统共享长期密码或 API 令牌。但这仍然不够，回想过去几个月，PyPI 平台饱受恶意软件的上传、恶意模仿软件包名称，以及被盗帐户用来提交恶意代码的困扰。

甚至一度因新创建的恶意用户 / 项目的数量实在太多，PyPI管理员完全应付不过来，只能关闭新用户注册和新项目上传功能。此外，Pypi 还因为一些恶意软件用户问题被美国司法部传唤。

PyPI 团队表示，对所有帐户强制执行 2FA 是增强平台安全性的长期承诺的一部分，可阻止凭据和 API 令牌的泄露，减少恶意软件的数量。2FA 验证将在年底强制执行，届时 PyPI 将开始根据 2FA 的使用情况限制对某些站点功能的访问，如果某些软件包事故多发，可能会提前执行强制 2FA 措施。