В PyPI введено подтверждение смены устройства, с которого осуществляется вход

15.11.2025 22:10

Разработчики репозитория Python-пакетов PyPI (Python Package Index) внедрили дополнительный этап проверки во время входа, требующий подтверждения операции по email в случае подключения с устройства или браузера, с которого раннее не производился вход. Подтверждение требуется в дополнение к имеющейся двухфакторной аутентификации, требующей ввода одноразового кода (TOTP - Time-based One-Time Password) помимо обычных учётных данных. При использовании в качестве второго фактора аутентификации ключей на базе технологий WebAuthn или Passkeys, дополнительное подтверждение по email не требуется.

В качестве причины добавления новой проверки называется усиление защиты от фишинга. С недавних пор для обхода защиты при помощи двухфакторной аутентификации атакующие перешли к применению прозрачного проксирования трафика с фишинговых сайтов на реальный сайт pypi.org, из-за чего у пользователя создаётся ощущение работы с реальным каталогом PyPI. Страница входа также проксируется и атакующие контролируют не только изначально введённый пароль входа, но и ответ на проверочный запрос второго фактора аутентификации.

Дополнительный запрос подтверждения полномочий с предупреждением о попытке входа с нового устройства предотвратит компрометацию в случае перехвата TOTP-кода и пароля, а также насторожит разработчиков, не менявших оборудование. В ходе проксирования атакующие могут перехватить параметры учётной записи и введённый одноразовый код TOTP, но не могут повлиять на подтверждение по еmail, требующее клика на указанной внутри письма ссылке.

Если пользователь получил проверочное письмо, но не пытался войти в каталог PyPI, то не следует переходить по ссылке. Если попытка входа была, но устройство не менялось, следует проверить не была ли попытка входа через фишинговый сайт и в случае выявления атаки срочно поменять пароль и проверить активность в учётной записи.

исправить +3 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/64257-pypi

Ключевые слова: pypi

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (8)

1.1, Аноним (1), 22:42, 15/11/2025 [ответить]	–1 +/–
Подтверждаю, ввели!

2.5, кек (?), 00:37, 16/11/2025 [^] [^^] [^^^] [ответить]	–1 +/–
СЛОВНО

1.2, мфя (?), 22:42, 15/11/2025 [ответить]	+1 +/–
вот у раста, го и прочих таких проблем меньше, и на их pi'ях логин не напоминает логин в банковском приложении. и все потому, что название сайта возможно воспроизвести в строке брафсера, если смог это произнести в голове. в случае с питоном же, я б, не посмотрев на "pi" в начале коммента, не вспомнила, что он не pipy.org. а на питоне я много писала

2.3, Аноним (3), 23:00, 15/11/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Т.е. package index python? Ну, это дислексия, батенька.

1.4, Аноним (4), 00:32, 16/11/2025 [ответить]	+1 +/–
>При использовании в качестве второго фактора аутентификации ключей на базе технологий WebAuthn или Passkeys, дополнительное подтверждение по email не требуется. Подстилки Майкрософта продолжают навязывать Windows Hello, ничего нового.

1.6, Аноним (6), 00:43, 16/11/2025 [ответить]	+/–
Этого мало, за то что их братия допустила взломы npm, pypi и прочих крэйтев, разрабов надо только по физическому паспорту пускать, с устройства, занесенного в список.

1.7, dir320 (?), 00:49, 16/11/2025 [ответить]	+/–
Не пользуюь. По старинке качаю файлы через wget, как с гитхабач так и с прочих помоек типа этой и npm.

2.8, Аноним (8), 00:55, 16/11/2025 [^] [^^] [^^^] [ответить]

+/–

> Не пользуюь. По старинке качаю файлы через wget, как с гитхабач

А, прости за подробности, гадить ты ходишь на улицу, где деды-прадеды выгребную ямку выкопали?
Или по царски в ночную вазу?

3.9, Аноним (9), 02:17, 16/11/2025 [^] [^^] [^^^] [ответить]	+/–
Не, прямо на тротуар, выбираю место так, чтобы вы, выходя утром на работу, непременно вляпались. Это - мания преследования.

Добавить комментарий

Текст: