Seoses suuremate projektide hoidlate kaaperdamise ja arendajakontode ohustamise kaudu pahatahtliku koodi levitamisega sagenevate juhtude tõttu võtab GitHub kasutusele laialdase laiendatud konto kinnitamise. Eraldi võetakse järgmise aasta alguses kasutusele kohustuslik kahefaktoriline autentimine 500 populaarseima NPM-paketi hooldajatele ja haldajatele.
Alates 7. detsembrist 2021 kuni 4. jaanuarini 2022 lähevad kõik hooldajad, kellel on õigus avaldada NPM pakette, kuid ei kasuta kahefaktorilist autentimist, üle konto laiendatud kinnitamise kasutamisele. Täpsem kinnitamine nõuab npmjs.com veebisaidile sisselogimisel või utiliidis npm autentitud toimingu sooritamisel e-posti teel saadetud ühekordse koodi sisestamist.
Täiustatud kinnitamine ei asenda, vaid ainult täiendab varem saadaolevat valikulist kahefaktorilist autentimist, mis nõuab kinnitamist ühekordsete paroolide (TOTP) abil. Kui kahefaktoriline autentimine on lubatud, siis laiendatud e-posti kinnitamist ei rakendata. Alates 1. veebruarist 2022 algab 100 populaarseima ja suurima sõltuvuste arvuga NPM-paketi hooldajate jaoks kohustuslikule kahefaktorilisele autentimisele ülemineku protsess. Pärast esimese saja migratsiooni lõpuleviimist jaotatakse muudatus sõltuvuste arvu järgi 500 populaarseima NPM-paketi vahel.
Lisaks praegu saadaolevale kahefaktorilisele autentimisskeemile, mis põhineb ühekordsete paroolide genereerimise rakendustel (Authy, Google Authenticator, FreeOTP jne), plaanivad nad 2022. aasta aprillis lisada riistvaravõtmete ja biomeetriliste skannerite kasutamise võimaluse, millel on WebAuthni protokolli tugi ning ka võimalus registreerida ja hallata erinevaid täiendavaid autentimisfaktoreid.
Pidagem meeles, et 2020. aastal läbi viidud uuringu järgi kasutab kahefaktorilist autentimist ligipääsu kaitsmiseks vaid 9.27% paketihalduritest ning 13.37% juhtudest üritasid arendajad uute kontode registreerimisel uuesti kasutada rikutud paroole, mis ilmusid teadaolevad paroolilekked. Paroolide turvalisuse ülevaatuse käigus pääseti ligi 12% NPM-i kontodest (13% pakettidest), kuna kasutati ennustatavaid ja triviaalseid paroole, nagu „123456”. Probleemsete hulgas oli 4 kasutajakontot Top 20 populaarseimate pakettide hulgast, 13 kontot, mille pakette laaditi alla rohkem kui 50 miljonit korda kuus, 40 kontot üle 10 miljoni allalaadimisega kuus ja 282 kontot rohkem kui 1 miljoni allalaadimisega kuus. Võttes arvesse moodulite laadimist sõltuvuste ahelas, võib ebausaldusväärsete kontode ohtu sattumine mõjutada kuni 52% kõigist NPM-i moodulitest.
Allikas: opennet.ru