A causa di l'aumentu di i casi di repositori di grandi prughjetti chì sò rapiti è u codice malicioso chì hè prumuvutu per mezu di u cumprumissu di i cunti di sviluppatore, GitHub introduce una verificazione di cunti allargata diffusa. Separatamente, l'autentificazione obbligatoria à dui fattori serà introdutta per i mantene è l'amministratori di i 500 pacchetti NPM più populari à principiu di l'annu prossimu.
Da u 7 di dicembre di u 2021 à u 4 di ghjennaghju di u 2022, tutti i mantenitori chì anu u dirittu di pubblicà i pacchetti NPM, ma ùn utilizanu micca l'autentificazione à dui fattori, seranu cambiati à l'usu di a verificazione estesa di u contu. A verificazione avanzata richiede l'inserzione di un codice una volta mandatu per e-mail quandu pruvate à accede à u situ web npmjs.com o fà una operazione autentificata in l'utilità npm.
A verificazione rinfurzata ùn rimpiazza micca, ma solu cumplementa, l'autentificazione opzionale di dui fattori chì hè dispunibule prima, chì richiede cunferma cù password una volta (TOTP). Quandu l'autentificazione à dui fattori hè attivata, a verificazione di e-mail estesa ùn hè micca applicata. A partire da u 1 di ferraghju di u 2022, u prucessu di cambià à l'autentificazione obbligatoria à dui fattori principiarà per i mantenitori di i 100 pacchetti NPM più populari cù u più grande numeru di dipendenze. Dopu avè finitu a migrazione di u primu centu, u cambiamentu serà distribuitu à i 500 pacchetti NPM più populari per u numeru di dependenzi.
In più di u schema di autentificazione di dui fattori attualmente dispunibule basatu annantu à l'applicazioni per a generazione di password una volta (Authy, Google Authenticator, FreeOTP, etc.), in April 2022 pensanu à aghjunghje l'abilità di utilizà chjavi hardware è scanners biometrici, per chì ci hè supportu per u protocolu WebAuthn, è ancu a capacità di registrà è gestisce diversi fatturi di autentificazione supplementari.
Ricurdemu chì, secondu un studiu realizatu in 2020, solu u 9.27% di i mantene di pacchetti utilizanu l'autentificazione à dui fattori per prutege l'accessu, è in u 13.37% di i casi, quandu si registranu novi cunti, i sviluppatori anu pruvatu à riutilizà password cumprumessi chì apparsu fughe di password cunnisciute. Durante una rivista di sicurezza di password, u 12% di i cunti NPM (13% di i pacchetti) sò stati accessu per via di l'usu di password prevedibili è triviali cum'è "123456". Trà i prublemi prublemi eranu 4 cunti d'utilizatori da u Top 20 pacchetti più populari, 13 cunti cù pacchetti scaricati più di 50 milioni di volte per mese, 40 cù più di 10 milioni di scaricamentu per mese, è 282 cù più di 1 milione di scaricamentu per mese. In cunsiderà a carica di moduli longu una catena di dependenzii, u cumprumissu di cunti micca fiduciati puderia influenzà finu à u 52% di tutti i moduli in NPM.
Source: opennet.ru