GitHub je najavio da NPM spremišta omogućavaju dvofaktorsku autentifikaciju za 100 NPM paketa koji su uključeni kao ovisnosti u najvećem broju paketa. Održavači ovih paketa će sada moći da obavljaju operacije sa autentifikacijom spremišta samo nakon što omoguće dvofaktorsku autentifikaciju, koja zahteva potvrdu prijave pomoću jednokratnih lozinki (TOTP) koje generišu aplikacije kao što su Authy, Google Authenticator i FreeOTP. U bliskoj budućnosti, osim TOTP-a, planiraju dodati i mogućnost korištenja hardverskih ključeva i biometrijskih skenera koji podržavaju WebAuth protokol.
Za 1. mart je planirano da se svi NPM računi koji nemaju omogućenu dvofaktorsku autentifikaciju prebace na proširenu verifikaciju računa, koja zahtijeva unošenje jednokratnog koda poslanog putem e-pošte prilikom pokušaja prijave na npmjs.com ili izvršenja autentifikacije. rad u npm uslužnom programu. Kada je omogućena dvofaktorska autentifikacija, proširena verifikacija e-pošte se ne primjenjuje. 16. i 13. februara bit će provedeno jednodnevno probno privremeno pokretanje proširene verifikacije za sve račune.
Podsjetimo, prema studiji provedenoj 2020. godine, samo 9.27% održavatelja paketa koristilo je dvofaktorsku autentifikaciju za zaštitu pristupa, a u 13.37% slučajeva, prilikom registracije novih naloga, programeri su pokušali ponovo koristiti kompromitovane lozinke koje su se pojavile u poznatim lozinka curi. Tokom pregleda sigurnosti lozinke, 12% NPM naloga (13% paketa) je pristupljeno zbog upotrebe predvidljivih i trivijalnih lozinki kao što je „123456“. Među problematičnima su bila 4 korisnička naloga iz Top 20 najpopularnijih paketa, 13 naloga sa paketima koji se preuzimaju više od 50 miliona puta mesečno, 40 sa više od 10 miliona preuzimanja mesečno i 282 sa više od milion preuzimanja mesečno. Uzimajući u obzir učitavanje modula duž lanca zavisnosti, kompromitovanje nepouzdanih naloga može uticati na do 1% svih modula u NPM-u.
izvor: opennet.ru