해커늬우스

비밀번호 대신 2단계 인증 또는 위험 기반 인증을 요구하는 웹사이트가 늘어나면서 비밀번호에 대한 불신은 점점 더 커지고 있습니다. 하지만 무작위로 생성된 고엔트로피 문자열인 API 키는 여전히 인증에 널리 사용되고 있습니다. 사용자가 잘못된 비밀번호를 선택한다고 가정할 경우 웹사이트는 사용자가 선택하도록 하는 대신 고엔트로피 비밀번호를 무작위로 생성해야 합니다. TOTP 2FA도 무작위로 생성된 비밀번호를 사용하므로 이 접근 방식이 효과적일 수 있습니다. 비밀번호와 TOTP의 주요 차이점은 비밀에 대한 지식이 입증되는 방식입니다. 실제로 2FA라고 생각되는 많은 2FA는 인증을 위해 단일 요소에 의존하기 때문에 실제로는 1FA입니다. 웹사이트가 무작위로 생성한 고엔트로피 암호를 사용하는 것이 더 안전한 ..

PyPI는 보안을 강화하기 위해 2023년 말까지 모든 프로젝트 관리자에게 2단계 인증(2FA)을 사용하도록 요구하고 있습니다. 이는 틈새 프로젝트도 탈취당하면 사용자를 공격하는 데 사용될 수 있기 때문입니다. 일반 사용자는 다른 사용자를 공격할 수 없지만, 관리자는 공격할 수 있습니다. PyPI는 새로운 기능과 인력으로 인해 2FA 확장에 대한 자신감을 얻었습니다. 개인은 공격에 더 취약하고 복구할 수 있는 리소스가 적기 때문에 공급망 보안은 기업뿐만 아니라 모든 개발자에게 도움이 됩니다. 유지 관리자에게 2FA를 요구하면 계정 탈취를 방지하여 긴급 지원 사례를 줄일 수 있습니다. 프로젝트 관리자는 가능한 한 빨리 2FA를 활성화하고 API 토큰이나 신뢰할 수 있는 퍼블리셔로 전환하여 새 정책에 대비하..