GitHub абвясціў аб уключэнні ў рэпазітары NPM абавязковай двухфактарнай аўтэнтыфікацыі для 100 NPM-пакетаў, уключаных як залежнасць у найбольшую колькасць пакетаў. Суправаджаючыя дадзеных пакетаў з гэтага часу змогуць выканаць патрабавальныя аўтэнтыфікацыі аперацыі з рэпазітаром толькі пасля ўключэння двухфактарнай аўтэнтыфікацыі, патрабавальнай пацверджання ўваходу пры дапамозе аднаразовых пароляў (TOTP), генераваных такімі прыкладаннямі, як Authy, Google Authenticator і FreeOTP. У бліжэйшы час апроч TOTP плануюць дадаць магчымасць выкарыстання апаратных ключоў і біяметрычных сканараў, якія падтрымліваюць пратакол WebAuth.
На 1 сакавіка намечаны пераклад усіх уліковых запісаў NPM, для якіх не ўключана двухфактарная аўтэнтыфікацыя, на выкарыстанне пашыранай верыфікацыі ўліковых запісаў, якая патрабуе ўводу аднаразовага кода, які адпраўляецца на email пры спробе ўваходу на сайт npmjs.com або выканання аўтэнтыфікаванай аперацыі ва ўтыліце n. Пры ўключэнні двухфактарнай аўтэнтыфікацыі пашыраная верыфікацыя па email не прымяняецца. 16 і 13 лютага на суткі будзе ажыццёўлены пробны часовы запуск пашыранай верыфікацыі для ўсіх уліковых запісаў.
Нагадаем, што ў адпаведнасці з праведзеным у 2020 годзе даследаваннем, толькі 9.27% мэйнтэнераў пакетаў выкарыстоўвалі для абароны доступу двухфактарную аўтэнтыфікацыю, а ў 13.37% выпадкаў пры рэгістрацыі новых уліковых запісаў распрацоўшчыкі спрабавалі паўторна выкарыстоўваць скампраметаваныя паролі, якія фігуруюць у вядомых утете. Падчас праверкі надзейнасці выкарыстоўваных пароляў атрымалася атрымаць доступ да 12% акаўнтаў у NPM (13% пакетаў) з-за выкарыстанні прадказальных і трывіяльных пароляў, такіх як "123456". У ліку праблемных апынуліся 4 уліковыя запісы карыстальнікаў з Top20 самых папулярных пакетаў, 13 уліковых запісаў, пакеты якіх загружалі больш за 50 млн раз у месяц, 40 – больш за 10 млн загрузак у месяц і 282 з больш за 1 млн загрузак у месяц. З улікам загрузкі модуляў па ланцужку залежнасцяў, кампраметацыя ненадзейных уліковых запісаў магла трапіць у суме да 52% ад усіх модуляў у NPM.
Крыніца: opennet.ru