Aufgrund der zunehmenden Fälle, in denen Repositorys großer Projekte gekapert werden und Schadcode durch die Kompromittierung von Entwicklerkonten gefördert wird, führt GitHub eine weit verbreitete erweiterte Kontoüberprüfung ein. Unabhängig davon wird Anfang nächsten Jahres eine obligatorische Zwei-Faktor-Authentifizierung für Betreuer und Administratoren der 500 beliebtesten NPM-Pakete eingeführt.
Vom 7. Dezember 2021 bis zum 4. Januar 2022 werden alle Betreuer, die das Recht haben, NPM-Pakete zu veröffentlichen, aber keine Zwei-Faktor-Authentifizierung verwenden, auf die Verwendung der erweiterten Kontoverifizierung umgestellt. Für die erweiterte Verifizierung ist die Eingabe eines einmaligen Codes erforderlich, der per E-Mail gesendet wird, wenn versucht wird, sich auf der Website npmjs.com anzumelden oder einen authentifizierten Vorgang im npm-Dienstprogramm auszuführen.
Die erweiterte Verifizierung ersetzt nicht, sondern ergänzt lediglich die bisher verfügbare optionale Zwei-Faktor-Authentifizierung, die eine Bestätigung mittels Einmalpasswörtern (TOTP) erfordert. Wenn die Zwei-Faktor-Authentifizierung aktiviert ist, wird die erweiterte E-Mail-Verifizierung nicht angewendet. Ab dem 1. Februar 2022 beginnt für die Betreuer der 100 beliebtesten NPM-Pakete mit der größten Anzahl an Abhängigkeiten der Prozess der Umstellung auf die obligatorische Zwei-Faktor-Authentifizierung. Nach Abschluss der Migration der ersten hundert wird die Änderung auf die 500 beliebtesten NPM-Pakete nach Anzahl der Abhängigkeiten verteilt.
Zusätzlich zum derzeit verfügbaren Zwei-Faktor-Authentifizierungsschema, das auf Anwendungen zur Generierung von Einmalpasswörtern (Authy, Google Authenticator, FreeOTP usw.) basiert, ist geplant, im April 2022 die Möglichkeit hinzuzufügen, Hardwareschlüssel und biometrische Scanner zu verwenden, z Es gibt Unterstützung für das WebAuthn-Protokoll sowie die Möglichkeit, verschiedene zusätzliche Authentifizierungsfaktoren zu registrieren und zu verwalten.
Denken Sie daran, dass laut einer im Jahr 2020 durchgeführten Studie nur 9.27 % der Paketbetreuer eine Zwei-Faktor-Authentifizierung verwenden, um den Zugriff zu schützen, und in 13.37 % der Fälle versuchten Entwickler bei der Registrierung neuer Konten, kompromittierte Passwörter wiederzuverwenden, die in auftauchten Bekannte Passwortlecks. Bei einer Überprüfung der Passwortsicherheit wurde auf 12 % der NPM-Konten (13 % der Pakete) aufgrund der Verwendung vorhersehbarer und trivialer Passwörter wie „123456“ zugegriffen. Zu den problematischen zählten 4 Benutzerkonten aus den Top 20 der beliebtesten Pakete, 13 Konten mit Paketen, die mehr als 50 Millionen Mal pro Monat heruntergeladen wurden, 40 mit mehr als 10 Millionen Downloads pro Monat und 282 mit mehr als 1 Million Downloads pro Monat. Unter Berücksichtigung des Ladens von Modulen entlang einer Kette von Abhängigkeiten könnte die Gefährdung nicht vertrauenswürdiger Konten bis zu 52 % aller Module in NPM betreffen.
Source: opennet.ru