Koska laajojen projektien tietovarastoja on kaapattu ja haitallista koodia mainostetaan yhä useammin kehittäjätilien vaarantumisen kautta, GitHub ottaa käyttöön laajan laajennetun tilivahvistuksen. Pakollinen kaksivaiheinen todennus otetaan erikseen käyttöön 500 suosituimman NPM-paketin ylläpitäjille ja ylläpitäjille ensi vuoden alussa.
7 - 2021 välisenä aikana kaikki ylläpitäjät, joilla on oikeus julkaista NPM-paketteja, mutta jotka eivät käytä kaksivaiheista todennusta, siirtyvät käyttämään laajennettua tilin vahvistusta. Tarkennettu vahvistus edellyttää sähköpostilla lähetetyn kertakoodin syöttämistä, kun yrität kirjautua npmjs.com-verkkosivustolle tai suorittaa todennettua toimintoa npm-apuohjelmassa.
Tehostettu varmennus ei korvaa, vaan vain täydentää aiemmin saatavilla olevaa valinnaista kaksivaiheista todennusta, joka edellyttää vahvistusta kertakäyttöisillä salasanoilla (TOTP). Kun kaksivaiheinen todennus on käytössä, laajennettua sähköpostin vahvistusta ei käytetä. 1 alkaen 2022 suosituimman NPM-paketin, joilla on eniten riippuvuuksia, ylläpitäjien siirtyminen pakolliseen kaksivaiheiseen todennukseen alkaa. Ensimmäisen sadan siirron jälkeen muutos jaetaan 100 suosituimmalle NPM-paketille riippuvuuksien lukumäärän mukaan.
Tällä hetkellä saatavilla olevan, kertakäyttöisten salasanojen luomissovelluksiin (Authy, Google Authenticator, FreeOTP jne.) perustuvan kaksivaiheisen todennusjärjestelmän lisäksi he suunnittelevat lisäävänsä huhtikuussa 2022 mahdollisuuden käyttää laitteistoavaimia ja biometrisiä skannereita mm. joka tukee WebAuthn-protokollaa, ja myös kyky rekisteröidä ja hallita erilaisia muita todennustekijöitä.
Muistakaamme, että vuonna 2020 tehdyn tutkimuksen mukaan vain 9.27 % pakettien ylläpitäjistä käyttää kaksivaiheista todennusta pääsyn suojaamiseen, ja 13.37 %:ssa tapauksista uusia tilejä rekisteröidessään kehittäjät yrittivät käyttää uudelleen vaarantuneita salasanoja, jotka ilmestyivät tunnetut salasanavuodot. Salasanan suojaustarkistuksen aikana 12 % NPM-tileistä (13 % paketeista) käytettiin ennakoitavien ja triviaalien salasanojen, kuten "123456", käytön vuoksi. Ongelmallisten joukossa oli 4 käyttäjätiliä Top 20 suosituimman paketin joukosta, 13 tiliä, joilla paketteja ladattiin yli 50 miljoonaa kertaa kuukaudessa, 40 tilillä yli 10 miljoonaa latausta kuukaudessa ja 282 tilillä yli miljoona latausta kuukaudessa. Kun otetaan huomioon moduulien latautuminen riippuvuusketjua pitkin, epäluotettavien tilien vaarantaminen voi vaikuttaa jopa 1 prosenttiin kaikista NPM:n moduuleista.
Lähde: opennet.ru