GitHub a annoncé que les référentiels NPM permettent l'authentification à deux facteurs pour les 100 packages NPM inclus en tant que dépendances dans le plus grand nombre de packages. Les responsables de ces packages ne pourront désormais effectuer des opérations de référentiel authentifiées qu'après avoir activé l'authentification à deux facteurs, qui nécessite une confirmation de connexion à l'aide de mots de passe à usage unique (TOTP) générés par des applications telles que Authy, Google Authenticator et FreeOTP. Dans un avenir proche, en plus de TOTP, ils prévoient d'ajouter la possibilité d'utiliser des clés matérielles et des scanners biométriques prenant en charge le protocole WebAuth.
Le 1er mars, il est prévu de transférer tous les comptes NPM pour lesquels l'authentification à deux facteurs n'est pas activée pour utiliser la vérification de compte étendue, qui nécessite la saisie d'un code à usage unique envoyé par e-mail lors de la tentative de connexion à npmjs.com ou d'effectuer une vérification d'authentification. opération dans l’utilitaire npm. Lorsque l'authentification à deux facteurs est activée, la vérification étendue des e-mails n'est pas appliquée. Les 16 et 13 février, un essai de lancement temporaire de la vérification étendue pour tous les comptes sera effectué pendant une journée.
Rappelons que selon une étude menée en 2020, seuls 9.27 % des mainteneurs de packages utilisaient l'authentification à deux facteurs pour protéger l'accès, et dans 13.37 % des cas, lors de l'enregistrement de nouveaux comptes, les développeurs essayaient de réutiliser les mots de passe compromis qui apparaissaient dans des comptes connus. fuites de mots de passe. Lors d'un examen de la sécurité des mots de passe, 12 % des comptes NPM (13 % des packages) ont été consultés en raison de l'utilisation de mots de passe prévisibles et triviaux tels que « 123456 ». Parmi les plus problématiques figuraient 4 comptes d'utilisateurs du Top 20 des packages les plus populaires, 13 comptes avec des packages téléchargés plus de 50 millions de fois par mois, 40 avec plus de 10 millions de téléchargements par mois et 282 avec plus d'un million de téléchargements par mois. Compte tenu du chargement des modules le long d'une chaîne de dépendances, la compromission de comptes non fiables pourrait affecter jusqu'à 1 % de tous les modules de NPM.
Source: opennet.ru