新聞來源：https://www.ithome.com.tw/news/158189
新聞名稱：PyPI新帳號現需要啟用雙因素驗證才能執行管理操作

基礎知識

Python

• 定義

  • 程式設計語言

• 用途

  • 爬蟲

  • 網站開發

  • 訓練 AI模型

PyPI (Python Package Index)

• 定義

  • Python 開發人員上傳和分享套件的公共儲存庫

雙因素驗證 (2FA)

• 定義

  • 除了密碼（或其他憑證），還需要加上其他身份驗證的方法

  • 其他身分驗證

    • 生物特徵

      • 指紋

      • 視網膜

    • 驗證碼

      • 簡訊

      • Email

    • 硬體設備

      • USB金鑰

• 目的

  • 提升安全，就算密碼被偷走，還需要加上其他驗證

網路釣魚（Phishing）

• 定義

  • 試圖透過假的信件、簡訊、網站

  • 誘使受害者輸入帳號密碼、信用卡卡號

• 技巧

  • 會模仿真實的銀行、社交媒體網站、線上支付平台

• 手法

  • 透過信件或通訊軟體寄給受害者有有惡意連結或附件的內容

  • 偽裝成一般網站的登入頁面，引導受害者輸入帳號密碼

• 特徵

  • 急迫性

    • 帳號要被鎖住

    • 限時優惠

    • 逾期會罰款

  • 錯誤

    • 包裹地址錯誤

憑證填充（Credential stuffing）

• 定義

  • 攻擊者使用在其他網站或服務中已知的帳號（或電子信箱）和密碼組合，嘗試在不同的網站或服務上登入。

• 來源

  • 已知的密碼，來自於其他網站的資料外洩

• 緣由

  • 很多使用者在不同網站會使用相同的密碼

• 對策

  • 設定帳號登入失敗次數限制

  • 使用 CAPTCHA 驗證

  • 啟動雙因素驗證(2FA)

事件整理

歷史背景

• PyPI

  • 為了加強安全性

    • 實施雙因素驗證

• 2019 年支援

• 2023 年 05 月 全面啟用

主要原因

• 2023 年 05 月

  • 發現

    • 大量惡意帳號

    • 大量惡意專案

  • 導致

    • 審核人力吃緊

    • 官方緊急停止接受新使用者和專案

• 攻擊者

  • 手法

    • 網路釣魚

    • 憑證填充

  • 取得

    • 帳號、密碼

  • 進行

    • 上傳惡意 Python 的套件

解決方法

• 新註冊使用者

  • 管理功能

    • 要求

      • 強制啟用雙因素驗證

    • 套件

      • 上傳

      • 管理

  • 未啟用

    • 頁面頂端看到紅色橫幅

    • 引導至雙因素驗證設定頁面

• 一般使用者

  • 驗證主要電子信箱

• 瀏覽 PyPI 網站

  • 下載和安裝套件的使用者

  • 不需要啟用雙因素驗證

後續步驟

• 雙因素驗證

  • 增加帳號安全性

  • 預期減少安全事件和惡意套件

小試身手

PyPI 從哪一年開始支援雙因素驗證？

• a. 2018年

• b. 2019年

• c. 2020年

• d. 2021年

• 答案

  • b. 2019年

新註冊的 PyPI 使用者在哪些行為前

必須啟用雙因素驗證

• a. 瀏覽PyPI網頁

• b. 下載套件

• c. 上傳套件

• d. 安裝套件

• 答案

  • c. 上傳套件

如果新用戶沒有啟用雙因素驗證嘗試進行管理行為，會跳出什麼提示

• a. 藍色橫幅

• b. 黃色橫幅

• c. 綠色橫幅

• d. 紅色橫幅

• 答案

  • d. 紅色橫幅

今年5月，PyPI緊急停止接受什麼

以緩解惡意程式碼的威脅？

• a. 舊使用者和專案

• b. 新專案

• c. 新使用者和專案

• d. 所有專案

• 答案

  • c. 新使用者和專案

攻擊者使用哪些方法非法取得

使用者的電子郵件和密碼

• a. 網路釣魚

• b. 網路蠕蟲

• c. 網路間諜

• d. 網路爬蟲

• 答案

  • a. 網路釣魚