Böyük layihələrin repozitoriyalarının oğurlanması və inkişaf etdirici hesablarının kompromisi yolu ilə zərərli kodun təşviq edilməsi hallarının artması səbəbindən GitHub geniş yayılmış hesab yoxlamasını təqdim edir. Bundan əlavə, gələn ilin əvvəlində 500 ən populyar NPM paketinin baxıcıları və administratorları üçün məcburi iki faktorlu autentifikasiya tətbiq ediləcək.
7 dekabr 2021-ci ildən 4-ci il yanvarın 2022-dək NPM paketlərini dərc etmək hüququna malik olan, lakin iki faktorlu autentifikasiyadan istifadə etməyən bütün baxıcılar genişləndirilmiş hesab doğrulamasından istifadəyə keçəcəklər. Qabaqcıl doğrulama npmjs.com veb saytına daxil olmağa və ya npm yardım proqramında təsdiqlənmiş əməliyyatı yerinə yetirməyə çalışarkən e-poçt vasitəsilə göndərilən birdəfəlik kodun daxil edilməsini tələb edir.
Təkmil yoxlama birdəfəlik parollardan (TOTP) istifadə etməklə təsdiq tələb edən əvvəllər mövcud olan isteğe bağlı iki faktorlu autentifikasiyanı əvəz etmir, ancaq onu tamamlayır. İki faktorlu autentifikasiya aktiv olduqda, genişləndirilmiş e-poçt doğrulaması tətbiq edilmir. 1-ci il fevralın 2022-dən etibarən ən çox asılılığa malik 100 ən populyar NPM paketinin dəstəkçiləri üçün məcburi iki faktorlu autentifikasiyaya keçid prosesi başlayacaq. İlk yüzlüyün miqrasiyasını tamamladıqdan sonra dəyişiklik asılılıqların sayına görə 500 ən populyar NPM paketinə paylanacaq.
Birdəfəlik parolların (Authy, Google Authenticator, FreeOTP və s.) yaradılması üçün tətbiqlərə əsaslanan, hazırda mövcud olan iki faktorlu autentifikasiya sxeminə əlavə olaraq, 2022-ci ilin aprelində onlar avadanlıq açarları və biometrik skanerlərdən istifadə etmək imkanı əlavə etməyi planlaşdırırlar. WebAuthn protokolu üçün dəstək, həmçinin müxtəlif əlavə autentifikasiya amillərini qeydiyyatdan keçirmək və idarə etmək imkanı var.
Xatırladaq ki, 2020-ci ildə aparılan bir araşdırmaya görə, paket sahiblərinin yalnız 9.27%-i girişi qorumaq üçün iki faktorlu autentifikasiyadan istifadə edir və 13.37% hallarda yeni hesabları qeydiyyatdan keçirərkən tərtibatçılar oğurlanmış parollardan təkrar istifadə etməyə çalışıblar. məlum parol sızması. Parol təhlükəsizliyinin nəzərdən keçirilməsi zamanı NPM hesablarının 12%-nə (paketlərin 13%-i) “123456” kimi proqnozlaşdırıla bilən və mənasız parolların istifadəsi səbəbindən daxil olub. Problemli olanlar arasında Top 4 ən populyar paketdən 20 istifadəçi hesabı, ayda 13 milyon dəfədən çox yüklənən paketləri olan 50 hesab, ayda 40 milyondan çox endirilən 10 və ayda 282 milyondan çox endirilən 1 hesab var. Asılılıqlar zənciri boyunca modulların yüklənməsini nəzərə alsaq, etibarsız hesabların güzəşti NPM-dəki bütün modulların 52%-ə qədərinə təsir göstərə bilər.
Mənbə: opennet.ru