Proiektu handien biltegien kasuak gero eta gehiago bahitu eta garatzaileen kontuen konpromezuaren bidez kode gaiztoak sustatzen direnez, GitHub kontuen egiaztapen hedatua sartzen ari da. Bereiz, derrigorrezko bi faktoreko autentifikazioa sartuko da datorren urte hasieran 500 NPM pakete ezagunenen mantentzaile eta administratzaileentzat.
7eko abenduaren 2021tik 4ko urtarrilaren 2022ra, NPM paketeak argitaratzeko eskubidea duten, baina bi faktoreko autentifikazioa erabiltzen ez duten mantentzaile guztiak kontuaren egiaztapen hedatua erabiltzera aldatuko dira. Egiaztapen aurreratuak posta elektronikoz bidalitako behin-behineko kodea sartu behar du npmjs.com webgunean saioa hasten saiatzean edo npm utilitatean autentifikatutako eragiketa bat egitean.
Egiaztapen hobetuak ez du ordezkatzen, baina osatzen du aurretik eskuragarri zegoen aukerako bi faktoreko autentifikazioa, eta horrek berrespena eskatzen du behin-behineko pasahitzak (TOTP) erabiliz. Bi faktoreko autentifikazioa gaituta dagoenean, posta elektronikoaren egiaztapen hedatua ez da aplikatzen. 1ko otsailaren 2022etik aurrera, derrigorrezko bi faktoreko autentifikaziora aldatzeko prozesua hasiko da mendekotasun kopuru handiena duten 100 NPM pakete ezagunenen mantentzaileek. Lehenengo ehunen migrazioa amaitu ondoren, aldaketa NPM pakete ezagunenetan banatuko da 500 mendekotasun kopuruaren arabera.
Egun bakarreko pasahitzak sortzeko aplikazioetan (Authy, Google Authenticator, FreeOTP, etab.) oinarritutako bi faktoreko autentifikazio-eskemaz gain, 2022ko apirilean hardware-gakoak eta eskaner biometrikoak erabiltzeko gaitasuna gehitzeko asmoa dute. WebAuthn protokolorako euskarria baitago, eta baita hainbat autentifikazio-faktore gehigarri erregistratzeko eta kudeatzeko aukera ere.
Gogora dezagun, 2020an egindako ikerketa baten arabera, paketeen mantentzaileen % 9.27k bakarrik erabiltzen duela bi faktoreko autentifikazioa sarbidea babesteko, eta kasuen % 13.37an, kontu berriak erregistratzean, garatzaileek agertzen ziren arriskuan dauden pasahitzak berrerabiltzen saiatu ziren. pasahitz filtrazio ezagunak. Pasahitzaren segurtasunaren berrikuspenean, NPM kontuen % 12ra (paketeen % 13) atzitu zen "123456" bezalako pasahitz aurreikusgarri eta hutsalak erabiltzeagatik. Arazoen artean, 4 pakete ezagunenetako 20 erabiltzaile-kontu zeuden, hilean 13 milioi aldiz baino gehiago deskargatutako paketeak dituzten 50 kontu, 40 hilean 10 milioi deskarga baino gehiagorekin eta 282 hilean milioi bat deskarga baino gehiagorekin. Moduluak mendekotasun-kate batean kargatzea kontuan hartuta, fidagarriak ez diren kontuen arriskuak NPMko modulu guztien % 1ri eragin diezaioke.
Iturria: opennet.ru