A causa de l'augment dels casos de segrest de dipòsits de grans projectes i de promoció de codi maliciós mitjançant el compromís dels comptes de desenvolupadors, GitHub està introduint una verificació de comptes ampliada generalitzada. Per separat, s'introduirà l'autenticació obligatòria de dos factors per als mantenedors i administradors dels 500 paquets NPM més populars a principis de l'any vinent.
Del 7 de desembre de 2021 al 4 de gener de 2022, tots els responsables de manteniment que tinguin dret a publicar paquets NPM, però que no utilitzen l'autenticació de dos factors, passaran a utilitzar la verificació de compte ampliada. La verificació avançada requereix introduir un codi únic enviat per correu electrònic quan intenteu iniciar sessió al lloc web npmjs.com o realitzar una operació autenticada a la utilitat npm.
La verificació millorada no substitueix, sinó que només complementa, l'autenticació opcional de dos factors disponible anteriorment, que requereix confirmació mitjançant contrasenyes d'un sol ús (TOTP). Quan l'autenticació de dos factors està activada, la verificació de correu electrònic ampliada no s'aplica. A partir de l'1 de febrer de 2022, començarà el procés de canvi a l'autenticació obligatòria de dos factors per als mantenedors dels 100 paquets NPM més populars amb el major nombre de dependències. Després de completar la migració del primer centenar, el canvi es distribuirà als 500 paquets NPM més populars per nombre de dependències.
A més de l'esquema d'autenticació de dos factors disponible actualment basat en aplicacions per generar contrasenyes d'un sol ús (Authy, Google Authenticator, FreeOTP, etc.), l'abril de 2022 tenen previst afegir la possibilitat d'utilitzar claus de maquinari i escàners biomètrics, per que hi ha suport per al protocol WebAuthn, i també la possibilitat de registrar i gestionar diversos factors d'autenticació addicionals.
Recordem que, segons un estudi realitzat l'any 2020, només el 9.27% dels mantenedors de paquets utilitzen l'autenticació de dos factors per protegir l'accés, i en el 13.37% dels casos, en registrar nous comptes, els desenvolupadors van intentar reutilitzar contrasenyes compromeses que apareixien a fuites de contrasenyes conegudes. Durant una revisió de seguretat de contrasenyes, es va accedir al 12% dels comptes de NPM (13% dels paquets) a causa de l'ús de contrasenyes predictibles i trivials com ara "123456". Entre els més problemàtics hi havia 4 comptes d'usuari dels 20 paquets més populars, 13 comptes amb paquets descarregats més de 50 milions de vegades al mes, 40 amb més de 10 milions de descàrregues al mes i 282 amb més d'1 milió de descàrregues al mes. Tenint en compte la càrrega de mòduls al llarg d'una cadena de dependències, el compromís de comptes no fiables podria afectar fins al 52% de tots els mòduls de NPM.
Font: opennet.ru