GitHub annoncerede, at NPM-lagre aktiverer to-faktor-godkendelse for de 100 NPM-pakker, der er inkluderet som afhængigheder i det største antal pakker. Vedligeholdere af disse pakker vil nu kun være i stand til at udføre godkendte lageroperationer efter at have aktiveret tofaktorautentificering, hvilket kræver login-bekræftelse ved hjælp af engangsadgangskoder (TOTP) genereret af applikationer som Authy, Google Authenticator og FreeOTP. I den nærmeste fremtid planlægger de, udover TOTP, at tilføje muligheden for at bruge hardwarenøgler og biometriske scannere, der understøtter WebAuth-protokollen.
Den 1. marts er det planlagt at overføre alle NPM-konti, der ikke har to-faktor-autentificering aktiveret til at bruge udvidet kontobekræftelse, hvilket kræver indtastning af en engangskode sendt via e-mail, når du forsøger at logge ind på npmjs.com eller udføre en autentificeret drift i npm-værktøjet. Når tofaktorgodkendelse er aktiveret, anvendes udvidet e-mailbekræftelse ikke. Den 16. og 13. februar vil der blive gennemført en midlertidig prøvelancering af udvidet verifikation for alle konti i en dag.
Lad os huske, at ifølge en undersøgelse udført i 2020 brugte kun 9.27 % af pakkevedligeholdere to-faktor-godkendelse til at beskytte adgangen, og i 13.37 % af tilfældene, når de registrerede nye konti, forsøgte udviklere at genbruge kompromitterede adgangskoder, der dukkede op i kendte adgangskode lækker. Under en adgangskodesikkerhedsgennemgang blev 12 % af NPM-konti (13 % af pakkerne) tilgået på grund af brugen af forudsigelige og trivielle adgangskoder såsom "123456." Blandt de problematiske var 4 brugerkonti fra de 20 mest populære pakker, 13 konti med pakker downloadet mere end 50 millioner gange om måneden, 40 med mere end 10 millioner downloads om måneden og 282 med mere end 1 million downloads om måneden. Tager man hensyn til indlæsningen af moduler langs en kæde af afhængigheder, kan kompromittering af upålidelige konti påvirke op til 52 % af alle moduler i NPM.
Kilde: opennet.ru