Vzhledem k množícím se případům únosů úložišť velkých projektů a propagace škodlivého kódu prostřednictvím kompromitace vývojářských účtů GitHub zavádí rozšířené rozšířené ověřování účtů. Samostatně bude začátkem příštího roku zavedena povinná dvoufaktorová autentizace pro správce a administrátory 500 nejoblíbenějších balíčků NPM.
Od 7. prosince 2021 do 4. ledna 2022 budou všichni správci, kteří mají právo publikovat balíčky NPM, ale nepoužívají dvoufaktorové ověřování, převedeni na používání rozšířeného ověřování účtu. Pokročilé ověření vyžaduje zadání jednorázového kódu zaslaného e-mailem při pokusu o přihlášení na web npmjs.com nebo provedení ověřené operace v nástroji npm.
Rozšířené ověřování nenahrazuje, ale pouze doplňuje dříve dostupnou volitelnou dvoufaktorovou autentizaci, která vyžaduje potvrzení pomocí jednorázových hesel (TOTP). Když je povoleno dvoufaktorové ověřování, rozšířené ověřování e-mailů se nepoužije. Od 1. února 2022 bude pro správce 100 nejoblíbenějších balíčků NPM s největším počtem závislostí zahájen proces přechodu na povinné dvoufaktorové ověřování. Po dokončení migrace první stovky bude změna rozdělena mezi 500 nejoblíbenějších balíčků NPM podle počtu závislostí.
Kromě aktuálně dostupného dvoufaktorového autentizačního schématu založeného na aplikacích pro generování jednorázových hesel (Authy, Google Authenticator, FreeOTP atd.) plánují v dubnu 2022 přidat možnost používat hardwarové klíče a biometrické skenery, pro který má podporu pro protokol WebAuthn a také možnost registrovat a spravovat různé další autentizační faktory.
Připomeňme, že podle studie provedené v roce 2020 pouze 9.27 % správců balíčků používá k ochraně přístupu dvoufaktorové ověřování a ve 13.37 % případů se při registraci nových účtů vývojáři pokusili znovu použít kompromitovaná hesla, která se objevila v úniky známých hesel. Během kontroly zabezpečení hesel bylo 12 % účtů NPM (13 % balíčků) přístupných kvůli použití předvídatelných a triviálních hesel, jako je „123456“. Mezi problematické patřily 4 uživatelské účty z Top 20 nejoblíbenějších balíčků, 13 účtů s balíčky staženými více než 50 milionykrát za měsíc, 40 účtů s více než 10 miliony stažení za měsíc a 282 účtů s více než 1 milionem stažení za měsíc. Vezmeme-li v úvahu načítání modulů v řetězci závislostí, kompromitace nedůvěryhodných účtů by mohla ovlivnit až 52 % všech modulů v NPM.
Zdroj: opennet.ru
