Python包索引(PyPI)正在以物理安全密钥的形式为“关键项目”推出双因素身份验证(2FA)。考虑到对软件供应链日益严重的威胁，该存储库正在向符合条件的维护者分发4000个Titan安全密钥，他们可以兑换促销代码以获取两个免费密钥，USB-C或USB-A。维护PyPI的Python软件基金会的赞助商Google开源安全团队提供了密钥。根据PyPI网站上的公告，所有关键项目的维护者都必须使用密钥和密码登录他们的帐户，这一要求“将在未来几个月内生效” 。

如果项目在前六个月的下载量中位于PyPI项目的前1%中，则该项目被视为“关键”。

这意味着大约350000个PyPI项目中大约有3500个符合条件。

并且“一旦该项目被指定为关键项目，它将无限期地保留该名称”，Python软件基金会表示。

Titan硬件密钥仅获准销售，因此只能分发到奥地利、比利时、加拿大、法国、德国、意大利、日本、西班牙、瑞士、英国和美国。

不符合条件的地区的关键项目的维护者可以独立购买替代的FIDO U2F安全密钥，例如Yubikey或Thetis，或者通过TOTP 应用程序启用2FA。

然而，PyPI警告说，“通过WebAuthn使用安全密钥通常被认为比使用基于TOTP的身份验证应用程序进行2FA更安全”。

此举遵循RubyGems代码存储库上个月做出的类似承诺，该承诺适用于下载量超过1.65亿次的gems维护者。

GitHub上个月还宣布，到明年年底，所有代码贡献者都必须强制执行2FA，而NPM最初将对其前100名Node.js包维护者强制执行2FA，并且已经在进行更广泛的推广。