Zbog sve češćih slučajeva otimanja skladišta velikih projekata i promoviranja zlonamjernog koda kroz kompromitaciju računa programera, GitHub uvodi široko rasprostranjenu proširenu verifikaciju naloga. Odvojeno, obavezna dvofaktorska autentifikacija će biti uvedena za održavaoce i administratore 500 najpopularnijih NPM paketa početkom sljedeće godine.
Od 7. decembra 2021. do 4. januara 2022. svi održavaoci koji imaju pravo objavljivanja NPM paketa, ali ne koriste dvofaktorsku autentifikaciju, preći će na korištenje proširene verifikacije naloga. Napredna provjera zahtijeva unos jednokratnog koda poslanog putem e-pošte kada pokušavate da se prijavite na web stranicu npmjs.com ili izvršite operaciju provjere autentičnosti u npm uslužnom programu.
Poboljšana verifikacija ne zamjenjuje, već samo dopunjuje, ranije dostupnu opcionu dvofaktorsku autentifikaciju, koja zahtijeva potvrdu korištenjem jednokratnih lozinki (TOTP). Kada je omogućena dvofaktorska autentifikacija, proširena verifikacija e-pošte se ne primjenjuje. Od 1. februara 2022. počinje proces prelaska na obaveznu dvofaktorsku autentifikaciju za održavaoce 100 najpopularnijih NPM paketa sa najvećim brojem zavisnosti. Nakon završetka migracije prvih sto, promjena će biti distribuirana na 500 najpopularnijih NPM paketa prema broju ovisnosti.
Pored trenutno dostupne dvofaktorske šeme autentifikacije zasnovane na aplikacijama za generisanje jednokratnih lozinki (Authy, Google Authenticator, FreeOTP, itd.), u aprilu 2022. planiraju dodati mogućnost korištenja hardverskih ključeva i biometrijskih skenera, za koji postoji podrška za WebAuthn protokol, kao i mogućnost registracije i upravljanja raznim dodatnim faktorima autentifikacije.
Podsjetimo, prema studiji provedenoj 2020. godine, samo 9.27% održavatelja paketa koristi dvofaktorsku autentifikaciju za zaštitu pristupa, a u 13.37% slučajeva, prilikom registracije novih naloga, programeri su pokušali ponovo koristiti kompromitovane lozinke koje su se pojavile u poznata lozinka curi. Tokom pregleda sigurnosti lozinke, 12% NPM naloga (13% paketa) je pristupljeno zbog upotrebe predvidljivih i trivijalnih lozinki kao što je „123456“. Među problematičnima su bila 4 korisnička naloga iz Top 20 najpopularnijih paketa, 13 naloga sa paketima koji se preuzimaju više od 50 miliona puta mesečno, 40 sa više od 10 miliona preuzimanja mesečno i 282 sa više od milion preuzimanja mesečno. Uzimajući u obzir učitavanje modula duž lanca zavisnosti, kompromitovanje nepouzdanih naloga može uticati na do 1% svih modula u NPM-u.
izvor: opennet.ru