The Hacker Newsは7月10日(米国時間)、「PyPI Repository Makes 2FA Security Mandatory for Critical Python Projects」において、PyPI (Python Package Index)リポジトリにある重要なプロジェクトのメンテナに対し、二要素認証(2FA: Two-Factor Authentication)を課し始めたたことを伝えた。この取り組みによって、重要なプロジェクトのメンテナ(オーナーを含む)は公開、更新、修正を行う際に二要素認証を有効にする必要があるという。
PyPIの公式Twitterにおいて、二要素認証の義務化への取り組みが開始したことが発表された。さらにこれまでPyPIで二要素認証を有効にしていなかった重要なプロジェクトの開発者に、Pythonソフトウェア財団(PSF: Python Software Foundation)のスポンサーであるGoogleのオープンソースセキュリティ・チームから無償のハードウェアセキュリティキーが提供されることも報告されている(参考「PyPI 2FA Security Key Giveaway · PyPI」)。
現在、PyPIには35万以上のプロジェクトが存在し、そのうち3500以上が重要なプロジェクトとされている。一度対象のプロジェクトが重要と判断された場合、その指定は無期限に保持されるという。
無償のハードウェアセキュリティキーが受け取れる地域は、同キーが販売承認されているオーストリア、ベルギー、カナダ、フランス、ドイツ、イタリア、日本、スペイン、スイス、英国、米国のみ。それ以外の地域のプロジェクトは利用可能なセキュリティキーベンダーからセキュリティキーを独自に購入するか、TOTP(Time-based One-time Password)アプリを介した二要素認証を有効にする必要があると説明されている。
PyPIでは今回の取り組みに対し、他にもいくつかのFAQを掲載。もしわからないことがあればPyPIのヘルプページを参照するか、メールによる連絡を受け付けるとしている。