أعلن موقع Python Package Index (PyPI)، المنصة الرسمية لتوزيع حزم بايثون، عن تطبيق خطوة أمنية جديدة تهدف إلى حماية حسابات المطورين من هجمات التصيد الإلكتروني. اعتبارًا من نوفمبر 2025، سيتطلب تسجيل الدخول باستخدام رموز المرور المؤقتة المستندة إلى الوقت (TOTP) من أجهزة جديدة تأكيدًا عبر البريد الإلكتروني. هذا الإجراء يضيف طبقة تحقق إضافية، حيث سيتلقى المستخدم رسالة بريد إلكتروني بعنوان “تسجيل دخول غير معروف إلى حسابك في PyPI” تتضمن رابطًا يجب النقر عليه لتأكيد محاولة الدخول قبل السماح بالوصول إلى الحساب⁽¹⁾.
لماذا هذا التغيير في آلية التحقق؟
جاء هذا التحديث الأمني استجابةً لمخاوف متزايدة من إمكانية اختراق الحسابات عبر هجمات التصيد التي تستهدف رموز TOTP. فعلى الرغم من أن TOTP تُعد وسيلة شائعة للتحقق الثنائي، إلا أنها ليست مقاومة تمامًا للتصيد، إذ يمكن للمهاجمين خداع المستخدمين لإدخال الرمز في مواقع مزيفة. في المقابل، فإن تقنيات WebAuthn والمفاتيح الأمنية (Passkeys) ترتبط تشفيريًا بالموقع الأصلي، مما يجعل من المستحيل تقريبًا استخدامها في مواقع مزورة. لذلك، فإن المستخدمين الذين يعتمدون على هذه الطرق لن يتأثروا بالتحديث الجديد⁽¹⁾⁽²⁾.
خلفية عن PyPI وأهمية الأمان في بيئة تطوير البرمجيات
تُعد PyPI حجر الأساس في بيئة تطوير بايثون، حيث توفر أكثر من 500 ألف حزمة برمجية يستخدمها ملايين المطورين حول العالم. ومع تزايد الهجمات الإلكترونية التي تستهدف مستودعات الأكواد، مثل حملة “Shai-Hulud” التي ضربت نظام npm مؤخرًا، أصبح من الضروري تعزيز إجراءات الأمان لحماية الحسابات والمحتوى البرمجي من التلاعب أو الاختراق⁽³⁾. وقد سبق لـ PyPI أن اتخذ خطوات مثل فرض التحقق الثنائي (2FA) على حسابات النشر، ويأتي التحقق عبر البريد الإلكتروني كخطوة إضافية في هذا الاتجاه.
ما الذي يعنيه هذا للمطورين؟
بالنسبة للمطورين الذين يستخدمون TOTP لتسجيل الدخول، سيواجهون الآن خطوة إضافية عند استخدام جهاز جديد، مما قد يبطئ عملية الوصول لكنه يعزز الحماية. أما أولئك الذين يستخدمون WebAuthn أو Passkeys، فلن يلاحظوا أي تغيير في تجربة الدخول. هذا التحديث يعكس توجهًا عالميًا نحو تعزيز أمان المصادقة، خاصة في البيئات التي تُستخدم فيها أدوات مفتوحة المصدر على نطاق واسع.
