Im NPM ist die verpflichtende Zwei-Faktor-Authentifizierung für die 500 beliebtesten Pakete aktiviert.

Im NPM-Repository wird die Anwendung der verpflichtenden Zwei-Faktor-Authentifizierung für Konten, die 500 der beliebtesten NPM-Pakete verwalten, umgesetzt. Das Kriterium für die Beliebtheit basiert auf der Anzahl abhängiger Pakete. Die Betreuer der aufgeführten Pakete können mit Änderungen im Repository nur dann fortfahren, wenn die Zwei-Faktor-Authentifizierung aktiviert ist, die eine Bestätigung des Zugangs durch einmalige Passwörter (TOTP) erfordert, die von Apps wie Authy, Google Authenticator und FreeOTP generiert werden, oder von Hardware-Schlüsseln und biometrischen Scannern, die das WebAuth-Protokoll unterstützen.

Dies ist die dritte Phase zur Stärkung des NPM-Schutzes gegen Konto-Komplikationen. In der ersten Phase wurden alle NPM-Konten, für die keine Zwei-Faktor-Authentifizierung aktiviert war, auf die Verwendung einer erweiterten Kontoverifizierung umgestellt. Diese erfordert die Eingabe eines Einmalcodes, der per E-Mail gesendet wird, wenn Sie versuchen, sich bei npmjs.com anzumelden oder eine authentifizierte Aktion im npm-Tool auszuführen. In der zweiten Phase wurde die Zwei-Faktor-Authentifizierung für die 100 beliebtesten Pakete verpflichtend aktiviert.

Wir erinnern daran, dass laut einer im Jahr 2020 durchgeführten Studie nur 9,27 % der Paket-Maintainer zur Absicherung des Zugangs die Zwei-Faktor-Authentifizierung verwendeten. In 13,37 % der Fälle versuchten Entwickler, bei der Registrierung neuer Konten kompromittierte Passwörter zu verwenden, die in bekannten Passwortlecks vorkommen. Bei der Überprüfung der Zuverlässigkeit der verwendeten Passwörter konnte auf 12 % der NPM-Accounts (13 % der Pakete) zugegriffen werden, da vorhersehbare und triviale Passwörter wie „123456“ verwendet wurden. Zu den problematischen Konten gehörten 4 Benutzerkonten aus den Top 20 der beliebtesten Pakete, 13 Konten von Paketen, die mehr als 50 Millionen Mal im Monat heruntergeladen wurden, 40 mit über 10 Millionen Downloads pro Monat und 282 mit mehr als 1 Million Downloads pro Monat. Unter Berücksichtigung der Modulbelastung über Abhängigkeitsketten hätte die Kompromittierung unsicherer Konten bis zu 52 % aller Module in NPM betreffen können.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster