Debido a los crecientes casos de secuestro de repositorios de grandes proyectos y promoción de códigos maliciosos a través del compromiso de cuentas de desarrolladores, GitHub está introduciendo una verificación de cuentas ampliada y generalizada. Por otra parte, a principios del próximo año se introducirá la autenticación obligatoria de dos factores para los mantenedores y administradores de los 500 paquetes NPM más populares.
Desde el 7 de diciembre de 2021 hasta el 4 de enero de 2022, todos los mantenedores que tengan derecho a publicar paquetes NPM, pero que no utilicen la autenticación de dos factores, pasarán a utilizar la verificación de cuenta extendida. La verificación avanzada requiere ingresar un código de un solo uso enviado por correo electrónico al intentar iniciar sesión en el sitio web npmjs.com o realizar una operación autenticada en la utilidad npm.
La verificación mejorada no reemplaza, sino que solo complementa, la autenticación de dos factores opcional disponible anteriormente, que requiere confirmación mediante contraseñas de un solo uso (TOTP). Cuando la autenticación de dos factores está habilitada, no se aplica la verificación de correo electrónico extendida. A partir del 1 de febrero de 2022, comenzará el proceso de cambio a la autenticación obligatoria de dos factores para los mantenedores de los 100 paquetes NPM más populares y con el mayor número de dependencias. Después de completar la migración de los primeros cien, el cambio se distribuirá a los 500 paquetes NPM más populares por número de dependencias.
Además del esquema de autenticación de dos factores actualmente disponible basado en aplicaciones para generar contraseñas de un solo uso (Authy, Google Authenticator, FreeOTP, etc.), en abril de 2022 planean agregar la posibilidad de usar claves de hardware y escáneres biométricos, por ejemplo. que incluye soporte para el protocolo WebAuthn y también la capacidad de registrar y administrar varios factores de autenticación adicionales.
Recordemos que, según un estudio realizado en 2020, solo el 9.27% de los mantenedores de paquetes utilizan la autenticación de dos factores para proteger el acceso, y en el 13.37% de los casos, al registrar nuevas cuentas, los desarrolladores intentaron reutilizar contraseñas comprometidas que aparecían en fugas de contraseñas conocidas. Durante una revisión de seguridad de contraseñas, se accedió al 12 % de las cuentas NPM (13 % de los paquetes) debido al uso de contraseñas predecibles y triviales como “123456”. Entre las problemáticas se encontraban 4 cuentas de usuario de los 20 paquetes más populares, 13 cuentas con paquetes descargados más de 50 millones de veces al mes, 40 con más de 10 millones de descargas al mes y 282 con más de 1 millón de descargas al mes. Teniendo en cuenta la carga de módulos a lo largo de una cadena de dependencias, el compromiso de cuentas que no son de confianza podría afectar hasta el 52% de todos los módulos en NPM.
Fuente: opennet.ru