GitHub anunció que los repositorios de NPM están habilitando la autenticación de dos factores para los 100 paquetes de NPM que se incluyen como dependencias en la mayor cantidad de paquetes. Los mantenedores de estos paquetes ahora podrán realizar operaciones de repositorio autenticado solo después de habilitar la autenticación de dos factores, que requiere confirmación de inicio de sesión mediante contraseñas de un solo uso (TOTP) generadas por aplicaciones como Authy, Google Authenticator y FreeOTP. En un futuro próximo, además de TOTP, planean agregar la capacidad de usar claves de hardware y escáneres biométricos que admitan el protocolo WebAuth.
El 1 de marzo, está previsto transferir todas las cuentas de NPM que no tengan habilitada la autenticación de dos factores para utilizar la verificación de cuenta extendida, que requiere ingresar un código de un solo uso enviado por correo electrónico al intentar iniciar sesión en npmjs.com o realizar una autenticación. operación en la utilidad npm. Cuando la autenticación de dos factores está habilitada, no se aplica la verificación de correo electrónico extendida. Los días 16 y 13 de febrero se llevará a cabo durante un día un lanzamiento temporal de prueba de la verificación extendida para todas las cuentas.
Recordemos que según un estudio realizado en 2020, solo el 9.27% de los mantenedores de paquetes utilizaron la autenticación de dos factores para proteger el acceso, y en el 13.37% de los casos, al registrar nuevas cuentas, los desarrolladores intentaron reutilizar contraseñas comprometidas que aparecían en sitios conocidos. fugas de contraseña. Durante una revisión de seguridad de contraseñas, se accedió al 12 % de las cuentas NPM (13 % de los paquetes) debido al uso de contraseñas predecibles y triviales como “123456”. Entre las problemáticas se encontraban 4 cuentas de usuario de los 20 paquetes más populares, 13 cuentas con paquetes descargados más de 50 millones de veces al mes, 40 con más de 10 millones de descargas al mes y 282 con más de 1 millón de descargas al mes. Teniendo en cuenta la carga de módulos a lo largo de una cadena de dependencias, el compromiso de cuentas que no son de confianza podría afectar hasta el 52% de todos los módulos en NPM.
Fuente: opennet.ru