GitHub teatas, et NPM-i hoidlad võimaldavad kahefaktorilist autentimist 100 NPM-i pakettide jaoks, mis sisalduvad sõltuvustena kõige suuremas arvus pakettides. Nende pakettide haldajad saavad nüüd autentitud hoidla toiminguid teha alles pärast kahefaktorilise autentimise lubamist, mis nõuab sisselogimise kinnitust ühekordsete paroolide (TOTP) abil, mille on genereerinud sellised rakendused nagu Authy, Google Authenticator ja FreeOTP. Lähiajal plaanivad nad lisaks TOTP-le lisada ka WebAuthi protokolli toetavate riistvaravõtmete ja biomeetriliste skannerite kasutamise võimaluse.
1. märtsil on kavas viia kõik NPM-i kontod, millel pole kahefaktorilist autentimist lubatud, kasutama laiendatud kontokontrolli, mis nõuab npmjs.com-i sisselogimisel või autentimise sooritamisel e-posti teel saadetava ühekordse koodi sisestamist. toiming utiliidis npm. Kui kahefaktoriline autentimine on lubatud, siis laiendatud e-posti kinnitamist ei rakendata. 16. ja 13. veebruaril käivitatakse kõigi kontode laiendatud kinnitamise ajutine prooviversioon üheks päevaks.
Meenutagem, et 2020. aastal läbi viidud uuringu järgi kasutas kahefaktorilist autentimist ligipääsu kaitsmiseks vaid 9.27% paketihalduritest ning 13.37% juhtudest püüdsid arendajad uute kontode registreerimisel taaskasutada teadaolevalt ilmunud rikutud paroole. paroolilekked. Paroolide turvalisuse ülevaatuse käigus pääseti ligi 12% NPM-i kontodest (13% pakettidest), kuna kasutati ennustatavaid ja triviaalseid paroole, näiteks "123456". Probleemsete hulgas oli 4 kasutajakontot Top 20 populaarseimate pakettide hulgast, 13 kontot, mille pakette laaditi alla rohkem kui 50 miljonit korda kuus, 40 kontot rohkem kui 10 miljoni allalaadimisega kuus ja 282 kontot rohkem kui 1 miljoni allalaadimisega kuus. Võttes arvesse moodulite laadimist sõltuvuste ahelas, võib ebausaldusväärsete kontode ohtu sattumine mõjutada kuni 52% kõigist NPM-i moodulitest.
Allikas: opennet.ru