GitHub va anunciar que els dipòsits NPM estan habilitant l'autenticació de dos factors per als 100 paquets NPM que s'inclouen com a dependències en el major nombre de paquets. Els administradors d'aquests paquets ara podran realitzar operacions de dipòsit autenticats només després d'habilitar l'autenticació de dos factors, que requereix confirmació d'inici de sessió mitjançant contrasenyes d'un sol ús (TOTP) generades per aplicacions com Authy, Google Authenticator i FreeOTP. En un futur proper, a més de TOTP, tenen previst afegir la possibilitat d'utilitzar claus de maquinari i escàners biomètrics compatibles amb el protocol WebAuth.
L'1 de març està previst transferir tots els comptes de NPM que no tinguin l'autenticació de dos factors activada per utilitzar la verificació de compte ampliada, que requereix introduir un codi únic enviat per correu electrònic quan s'intenta iniciar sessió a npmjs.com o realitzar una autenticació. funcionament a la utilitat npm. Quan l'autenticació de dos factors està activada, la verificació de correu electrònic ampliada no s'aplica. Els dies 16 i 13 de febrer es realitzarà un llançament temporal de prova de la verificació ampliada per a tots els comptes durant un dia.
Recordem que segons un estudi realitzat l'any 2020, només el 9.27% dels mantenedors de paquets utilitzaven l'autenticació de dos factors per protegir l'accés, i en el 13.37% dels casos, en registrar nous comptes, els desenvolupadors van intentar reutilitzar contrasenyes compromeses que apareixien en conegudes. fuites de contrasenyes. Durant una revisió de seguretat de contrasenyes, es va accedir al 12% dels comptes de NPM (13% dels paquets) a causa de l'ús de contrasenyes predictibles i trivials com ara "123456". Entre els més problemàtics hi havia 4 comptes d'usuari dels 20 paquets més populars, 13 comptes amb paquets descarregats més de 50 milions de vegades al mes, 40 amb més de 10 milions de descàrregues al mes i 282 amb més d'1 milió de descàrregues al mes. Tenint en compte la càrrega de mòduls al llarg d'una cadena de dependències, el compromís de comptes no fiables podria afectar fins al 52% de tots els mòduls de NPM.
Font: opennet.ru