Python用ソフトウェアリポジトリ「PyPI」、全アカウントで2023年末までに2要素認証を義務化へ：2要素認証の使用状況に基づくアクセス制限も実施予定

Pythonコミュニティーは、PyPIを利用する全てのアカウントに対して2023年末までに2要素認証の有効化を義務付けることを発表した。

[＠IT]

　Pythonコミュニティーは2023年5月25日（現地時間）、Python用パッケージリポジトリ「PyPI」上でプロジェクトや組織を管理する全てのアカウントに対し、2023年末までに2要素認証（2FA）有効化を義務付けると発表した。

　「2要素認証を取り入れると、パスワード漏えいに伴うリスクをなくせる。もし攻撃者が誰かのパスワードを持っていたとしても、それだけではアカウントへのアクセス権限を得られない」（Pythonコミュニティー）

今後の動き

　PyPIは、2要素認証の使用状況次第で、2023年末を待たずに一部のサイト機能へのアクセス制限を開始する方針だ。

　Pythonコミュニティーは、できるだけ早くアカウントの2要素認証（2FA）を有効化することを強く推奨している。「セキュリティデバイスまたは認証アプリを使用して有効化し、Trusted PublishersまたはAPIトークンを使用してPyPIにアップロードするよう切り替えることも重要」（Pythonコミュニティー）

なぜ利用者全員を対象とするのか

　PyPIの利用者全員を対象として2要素認証を義務付ける理由として、Pythonコミュニティーは次のように回答している。

　「1つでも侵害されたプロジェクトがあれば、ダウンロード数に関係なく、誰かを危険にさらす可能性がある。そのため、全てのプロジェクトが2要素認証で保護される状態にしたい」