GitHub gab bekannt, dass NPM-Repositorys die Zwei-Faktor-Authentifizierung für die 100 NPM-Pakete ermöglichen, die als Abhängigkeiten in der größten Anzahl von Paketen enthalten sind. Betreuer dieser Pakete können nun authentifizierte Repository-Vorgänge erst durchführen, nachdem sie die Zwei-Faktor-Authentifizierung aktiviert haben, die eine Anmeldebestätigung mit Einmalkennwörtern (TOTP) erfordert, die von Anwendungen wie Authy, Google Authenticator und FreeOTP generiert werden. In naher Zukunft planen sie, zusätzlich zu TOTP die Möglichkeit hinzuzufügen, Hardwareschlüssel und biometrische Scanner zu verwenden, die das WebAuth-Protokoll unterstützen.
Am 1. März ist geplant, alle NPM-Konten, bei denen die Zwei-Faktor-Authentifizierung nicht aktiviert ist, auf die erweiterte Kontoüberprüfung umzustellen, die die Eingabe eines einmaligen Codes erfordert, der per E-Mail gesendet wird, wenn versucht wird, sich bei npmjs.com anzumelden oder eine Authentifizierung durchzuführen Vorgang im npm-Dienstprogramm. Wenn die Zwei-Faktor-Authentifizierung aktiviert ist, wird die erweiterte E-Mail-Verifizierung nicht angewendet. Am 16. und 13. Februar wird für einen Tag ein vorübergehender Teststart der erweiterten Verifizierung für alle Konten durchgeführt.
Denken Sie daran, dass laut einer im Jahr 2020 durchgeführten Studie nur 9.27 % der Paketbetreuer eine Zwei-Faktor-Authentifizierung zum Schutz des Zugriffs verwendeten und in 13.37 % der Fälle versuchten Entwickler bei der Registrierung neuer Konten, kompromittierte Passwörter wiederzuverwenden, die in bekannten Fällen auftraten Passwortlecks. Bei einer Überprüfung der Passwortsicherheit wurde auf 12 % der NPM-Konten (13 % der Pakete) aufgrund der Verwendung vorhersehbarer und trivialer Passwörter wie „123456“ zugegriffen. Zu den problematischen zählten 4 Benutzerkonten aus den Top 20 der beliebtesten Pakete, 13 Konten mit Paketen, die mehr als 50 Millionen Mal pro Monat heruntergeladen wurden, 40 mit mehr als 10 Millionen Downloads pro Monat und 282 mit mehr als 1 Million Downloads pro Monat. Unter Berücksichtigung des Ladens von Modulen entlang einer Kette von Abhängigkeiten könnte die Gefährdung nicht vertrauenswürdiger Konten bis zu 52 % aller Module in NPM betreffen.
Source: opennet.ru