В связи с участившимися случаями захвата репозиториев крупных проектов и продвижения вредоносного кода через компрометацию учётных записей разработчиков, компания GitHub вводит повсеместную расширенную верификацию учётных записей. Отдельно для сопровождающих и администраторов 500 самых популярных NPM-пакетов в начале следующего года будет внедрена обязательная двухфакторная аутентификация.
Van 7 Desember 2021 tot 4 Januarie 2022 sal alle instandhouers wat die reg het om NPM-pakkette te publiseer, maar nie tweefaktor-stawing gebruik nie, oorgeskakel word na die gebruik van uitgebreide rekeningverifikasie. Gevorderde verifikasie vereis die invoer van 'n eenmalige kode wat per e-pos gestuur word wanneer jy probeer om by die npmjs.com-webwerf aan te meld of 'n geverifieerde bewerking in die npm-nutsding uit te voer.
Verbeterde verifikasie vervang nie, maar komplementeer slegs, die voorheen beskikbare opsionele twee-faktor-verifikasie, wat bevestiging vereis met behulp van eenmalige wagwoorde (TOTP). Wanneer tweefaktor-verifikasie geaktiveer is, word uitgebreide e-posverifikasie nie toegepas nie. Vanaf 1 Februarie 2022 sal die oorskakelingsproses na verpligte tweefaktor-verifikasie begin vir die instandhouers van die 100 gewildste NPM-pakkette met die grootste aantal afhanklikhede. Nadat die migrasie van die eerste honderd voltooi is, sal die verandering na die 500 gewildste NPM-pakkette versprei word volgens die aantal afhanklikhede.
Benewens die tans beskikbare tweefaktor-verifikasieskema gebaseer op toepassings vir die generering van eenmalige wagwoorde (Authy, Google Authenticator, FreeOTP, ens.), beplan hulle om in April 2022 die vermoë by te voeg om hardewaresleutels en biometriese skandeerders te gebruik, vir wat daar ondersteuning vir die WebAuthn-protokol is, en ook die vermoë om verskeie bykomende verifikasiefaktore te registreer en te bestuur.
Kom ons onthou dat, volgens 'n studie wat in 2020 gedoen is, slegs 9.27% van pakketonderhouers twee-faktor-verifikasie gebruik om toegang te beskerm, en in 13.37% van die gevalle, wanneer hulle nuwe rekeninge registreer, het ontwikkelaars probeer om gekompromitteerde wagwoorde wat in verskyn het, te hergebruik. bekende wagwoordlekkasies. Tydens 'n wagwoordsekuriteitoorsig is toegang tot 12% van NPM-rekeninge (13% van pakkette) verkry weens die gebruik van voorspelbare en onbenullige wagwoorde soos "123456." Van die problematiese was 4 gebruikersrekeninge van die Top 20 gewildste pakkette, 13 rekeninge met pakkette wat meer as 50 miljoen keer per maand afgelaai is, 40 met meer as 10 miljoen aflaaie per maand, en 282 met meer as 1 miljoen aflaaie per maand. Met inagneming van die laai van modules langs 'n ketting van afhanklikhede, kan kompromie van onbetroubare rekeninge tot 52% van alle modules in NPM raak.
Bron: opennet.ru