Το GitHub ανακοίνωσε ότι τα αποθετήρια NPM ενεργοποιούν τον έλεγχο ταυτότητας δύο παραγόντων για τα πακέτα 100 NPM που περιλαμβάνονται ως εξαρτήσεις στον μεγαλύτερο αριθμό πακέτων. Οι συντηρητές αυτών των πακέτων θα μπορούν πλέον να εκτελούν επαληθευμένες λειτουργίες αποθετηρίου μόνο αφού ενεργοποιήσουν τον έλεγχο ταυτότητας δύο παραγόντων, ο οποίος απαιτεί επιβεβαίωση σύνδεσης με χρήση κωδικών πρόσβασης μίας χρήσης (TOTP) που δημιουργούνται από εφαρμογές όπως το Authy, το Google Authenticator και το FreeOTP. Στο εγγύς μέλλον, εκτός από το TOTP, σχεδιάζουν να προσθέσουν τη δυνατότητα χρήσης κλειδιών υλικού και βιομετρικών σαρωτών που υποστηρίζουν το πρωτόκολλο WebAuth.
Την 1η Μαρτίου, σχεδιάζεται να μεταφερθούν όλοι οι λογαριασμοί NPM που δεν έχουν ενεργοποιημένο έλεγχο ταυτότητας δύο παραγόντων για χρήση εκτεταμένης επαλήθευσης λογαριασμού, η οποία απαιτεί την εισαγωγή ενός εφάπαξ κωδικού που αποστέλλεται μέσω email όταν προσπαθείτε να συνδεθείτε στο npmjs.com ή να πραγματοποιήσετε έλεγχο ταυτότητας λειτουργία στο βοηθητικό πρόγραμμα npm. Όταν είναι ενεργοποιημένος ο έλεγχος ταυτότητας δύο παραγόντων, δεν εφαρμόζεται εκτεταμένη επαλήθευση email. Στις 16 και 13 Φεβρουαρίου, θα πραγματοποιηθεί μια δοκιμαστική προσωρινή έναρξη εκτεταμένης επαλήθευσης για όλους τους λογαριασμούς για μια ημέρα.
Ας θυμηθούμε ότι σύμφωνα με μια μελέτη που διεξήχθη το 2020, μόνο το 9.27% των συντηρητών πακέτων χρησιμοποίησαν έλεγχο ταυτότητας δύο παραγόντων για την προστασία της πρόσβασης και στο 13.37% των περιπτώσεων, κατά την εγγραφή νέων λογαριασμών, οι προγραμματιστές προσπάθησαν να επαναχρησιμοποιήσουν παραβιασμένους κωδικούς πρόσβασης που εμφανίζονταν στα γνωστά διαρροές κωδικού πρόσβασης. Κατά τη διάρκεια ενός ελέγχου ασφαλείας κωδικού πρόσβασης, έγινε πρόσβαση στο 12% των λογαριασμών NPM (13% των πακέτων) λόγω της χρήσης προβλέψιμων και ασήμαντων κωδικών πρόσβασης όπως "123456". Μεταξύ των προβληματικών ήταν 4 λογαριασμοί χρηστών από τα Top 20 πιο δημοφιλή πακέτα, 13 λογαριασμοί με πακέτα που λήφθηκαν περισσότερες από 50 εκατομμύρια φορές το μήνα, 40 με περισσότερες από 10 εκατομμύρια λήψεις το μήνα και 282 με περισσότερες από 1 εκατομμύριο λήψεις το μήνα. Λαμβάνοντας υπόψη τη φόρτωση των λειτουργικών μονάδων κατά μήκος μιας αλυσίδας εξαρτήσεων, ο παραβιασμός των μη αξιόπιστων λογαριασμών θα μπορούσε να επηρεάσει έως και το 52% όλων των λειτουργικών μονάδων στο NPM.
Πηγή: opennet.ru