- В PyPI введена дополнительная проверка при входе с нового устройства или браузера.
- Теперь для подтверждения входа пользователю необходимо подтвердить операцию по email, если устройство не распознано.
- Пользователи с использованием WebAuthn или Passkeys освобождаются от дополнительного подтверждения по email.
Команда разработчиков Python Package Index (PyPI) представила новую функцию безопасности, направленную на усиление защиты пользователей от фишинговых атак. Ранее для входа в аккаунт PyPI достаточно было ввести одноразовый пароль (TOTP), однако теперь при попытке входа с устройства или браузера, не зарегистрированного в системе, требуется дополнительное подтверждение через электронную почту, привязанную к учётной записи. После подтверждения новое устройство становится доверенным для будущих авторизаций, что исключает необходимость повторной проверки по email при последующих входах с него.
Исключением из данного требования являются пользователи, применяющие в качестве второго фактора аутентификации ключи на базе технологий WebAuthn или Passkeys, которым не нужно дополнительно подтверждать вход через email. По словам разработчиков, такой шаг значительно снижает риски компрометации аккаунтов вследствие фишинга, усиливая общую безопасность экосистемы PyPI. При этом пользователям настоятельно советуют внимательно относиться к уведомлениям о входе: если электронное письмо с подтверждением приходит без их запроса, рекомендуется не переходить по ссылкам из письма, немедленно сменить пароль и проверить учетную запись на предмет подозрительной активности.
Введение этой меры отражает текущие тенденции в сфере информационной безопасности, где многократная многофакторная аутентификация становится стандартом для защиты онлайн-сервисов и минимизации угроз, связанных с кражей учетных данных.
