GitHub oznámil, že repozitáře NPM umožňují dvoufaktorovou autentizaci pro 100 balíčků NPM, které jsou zahrnuty jako závislosti v největším počtu balíčků. Správci těchto balíčků budou nyní moci provádět operace s ověřeným úložištěm pouze po povolení dvoufaktorové autentizace, která vyžaduje potvrzení přihlášení pomocí jednorázových hesel (TOTP) generovaných aplikacemi jako Authy, Google Authenticator a FreeOTP. V blízké budoucnosti plánují kromě TOTP přidat možnost používat hardwarové klíče a biometrické skenery, které podporují protokol WebAuth.
1. března je plánováno převedení všech účtů NPM, které nemají povolenou dvoufaktorovou autentizaci, k použití rozšířeného ověření účtu, které vyžaduje zadání jednorázového kódu zaslaného e-mailem při pokusu o přihlášení na npmjs.com nebo provedení ověřeného operace v obslužném programu npm. Když je povoleno dvoufaktorové ověřování, rozšířené ověřování e-mailů se nepoužije. 16. a 13. února bude na jeden den probíhat zkušební dočasné spuštění rozšířeného ověřování pro všechny účty.
Připomeňme, že podle studie provedené v roce 2020 pouze 9.27 % správců balíčků používalo k ochraně přístupu dvoufaktorové ověřování a ve 13.37 % případů se při registraci nových účtů vývojáři pokusili znovu použít kompromitovaná hesla, která se objevila ve známých únik hesla. Během kontroly zabezpečení hesel bylo 12 % účtů NPM (13 % balíčků) přístupných kvůli použití předvídatelných a triviálních hesel, jako je „123456“. Mezi problematické patřily 4 uživatelské účty z Top 20 nejoblíbenějších balíčků, 13 účtů s balíčky staženými více než 50 milionykrát za měsíc, 40 účtů s více než 10 miliony stažení za měsíc a 282 účtů s více než 1 milionem stažení za měsíc. Vezmeme-li v úvahu načítání modulů v řetězci závislostí, kompromitace nedůvěryhodných účtů by mohla ovlivnit až 52 % všech modulů v NPM.
Zdroj: opennet.ru