På grund af de stigende tilfælde af arkiver af store projekter, der bliver kapret, og ondsindet kode fremmes gennem kompromittering af udviklerkonti, introducerer GitHub en udbredt udvidet kontobekræftelse. Separat vil obligatorisk to-faktor-godkendelse blive introduceret for vedligeholdere og administratorer af de 500 mest populære NPM-pakker tidligt næste år.
Fra 7. december 2021 til 4. januar 2022 vil alle vedligeholdere, der har ret til at udgive NPM-pakker, men ikke bruger to-faktor-godkendelse, blive skiftet til at bruge udvidet kontobekræftelse. Avanceret verifikation kræver indtastning af en engangskode sendt via e-mail, når du forsøger at logge ind på npmjs.com-webstedet eller udføre en godkendt handling i npm-værktøjet.
Forbedret verifikation erstatter ikke, men supplerer kun den tidligere tilgængelige valgfri tofaktorautentificering, som kræver bekræftelse ved hjælp af engangsadgangskoder (TOTP). Når tofaktorgodkendelse er aktiveret, anvendes udvidet e-mailbekræftelse ikke. Fra den 1. februar 2022 begynder processen med at skifte til obligatorisk to-faktor-godkendelse for vedligeholdere af de 100 mest populære NPM-pakker med det største antal afhængigheder. Efter at have gennemført migreringen af de første hundrede, vil ændringen blive distribueret til de 500 mest populære NPM-pakker efter antal afhængigheder.
Ud over den aktuelt tilgængelige to-faktor autentificeringsordning baseret på applikationer til generering af engangsadgangskoder (Authy, Google Authenticator, FreeOTP osv.), planlægger de i april 2022 at tilføje muligheden for at bruge hardwarenøgler og biometriske scannere, for som der er understøttelse for WebAuthn-protokollen, og også muligheden for at registrere og administrere forskellige yderligere autentificeringsfaktorer.
Lad os huske, at ifølge en undersøgelse udført i 2020, bruger kun 9.27 % af pakkevedligeholdere to-faktor-autentificering til at beskytte adgangen, og i 13.37 % af tilfældene, når de registrerede nye konti, forsøgte udviklere at genbruge kompromitterede adgangskoder, der dukkede op i kendte password-lækage. Under en adgangskodesikkerhedsgennemgang blev 12 % af NPM-konti (13 % af pakkerne) tilgået på grund af brugen af forudsigelige og trivielle adgangskoder såsom "123456." Blandt de problematiske var 4 brugerkonti fra de 20 mest populære pakker, 13 konti med pakker downloadet mere end 50 millioner gange om måneden, 40 med mere end 10 millioner downloads om måneden og 282 med mere end 1 million downloads om måneden. Tager man hensyn til indlæsningen af moduler langs en kæde af afhængigheder, kan kompromittering af upålidelige konti påvirke op til 52 % af alle moduler i NPM.
Kilde: opennet.ru