The Python Package Index Blog
·
防止域名复活攻击
内容提要
PyPI 现在检查过期域名以防止账户被接管的攻击,自2025年6月起已取消验证1800多个与过期域名相关的邮箱。用户应确保账户有多个验证邮箱并启用双重身份验证以增强安全性。
关键要点
-
PyPI 现在检查过期域名以防止账户被接管的攻击。
-
自2025年6月起,PyPI已取消验证1800多个与过期域名相关的邮箱。
-
用户应确保账户有多个验证邮箱并启用双重身份验证以增强安全性。
-
过期域名可能被攻击者注册并用于重置密码,从而接管账户。
-
PyPI 账户注册时需要验证邮箱地址,以确保其有效性。
-
一旦域名过期,攻击者可以利用该域名进行账户接管。
-
自2024年1月1日起,所有有活动的账户将启用双重身份验证。
-
PyPI 将每日检查域名状态变化,并更新内部数据库。
-
如果域名进入赎回期,PyPI 将取消验证相关的邮箱地址。
-
建议用户添加来自其他知名域的第二个验证邮箱以提高安全性。
延伸解读
域名过期的风险
域名过期后,攻击者可以注册该域名并利用其进行账户接管。这种攻击方式在2022年曾发生过,表明其真实存在性。用户需警惕与过期域名相关的邮箱,确保及时更新邮箱信息以防止潜在风险。
双重身份验证的重要性
自2024年起,所有活跃账户将启用双重身份验证(2FA)。这项措施显著提高了账户安全性,用户应确保在所有相关服务中启用2FA,以降低账户被接管的风险。
邮箱验证的变化
PyPI自2025年6月起取消了与过期域名相关的邮箱验证,这意味着用户需要定期检查邮箱的有效性。建议用户添加来自其他知名域的邮箱,以增强账户的安全性和恢复能力。
延伸问答
PyPI是如何防止域名复活攻击的?
PyPI通过检查过期域名并取消验证与这些域名相关的邮箱地址来防止域名复活攻击。
自何时起PyPI取消了与过期域名相关的邮箱验证?
自2025年6月起,PyPI已取消验证1800多个与过期域名相关的邮箱。
用户如何增强PyPI账户的安全性?
用户应确保账户有多个验证邮箱并启用双重身份验证以增强安全性。
过期域名会对PyPI账户造成什么风险?
过期域名可能被攻击者注册并用于重置密码,从而接管与该域名相关的PyPI账户。
PyPI如何处理进入赎回期的域名?
如果域名进入赎回期,PyPI将取消验证相关的邮箱地址,并不再向这些地址发送密码重置请求。
双重身份验证在PyPI账户安全中有什么作用?
双重身份验证可以进一步保护账户,防止未经授权的访问,即使攻击者获得了密码。
