Fanwegen de tanimmende gefallen fan repositories fan grutte projekten dy't wurde kape en kweade koade wurdt befoardere troch it kompromis fan ûntwikkeldersakkounts, yntroduseart GitHub wiidferspraat útwreide akkountferifikaasje. Apart sil ferplichte twa-faktor autentikaasje wurde yntrodusearre foar ûnderhâlders en behearders fan de 500 meast populêre NPM pakketten begjin takom jier.
Fan 7 desimber 2021 oant 4 jannewaris 2022 wurde alle ûnderhâlders dy't it rjocht hawwe om NPM-pakketten te publisearjen, mar gjin twa-faktor-autentikaasje brûke, oerstapt nei it brûken fan útwreide akkountferifikaasje. Avansearre ferifikaasje fereasket it ynfieren fan in ienmalige koade dy't per e-post ferstjoerd wurdt as jo besykje oan te melden by de npmjs.com-webside of in autentike operaasje útfiere yn it npm-hulpprogramma.
Ferbettere ferifikaasje ferfangt net, mar komplementearret allinich de earder beskikbere opsjonele twa-faktora-autentikaasje, dy't befêstiging fereasket mei ienmalige wachtwurden (TOTP). As twa-faktor-ferifikaasje is ynskeakele, wurdt útwreide e-postferifikaasje net tapast. Begjin fan 1 febrewaris 2022 sil it proses fan oerdracht nei ferplichte twa-faktor autentikaasje de byhearrende 100 populêrste NPM-pakketten mei it grutste oantal ôfhinklikens begjinne. Nei it foltôgjen fan de migraasje fan 'e earste hûndert, sil de wiziging ferdield wurde nei de 500 meast populêre NPM-pakketten troch oantal ôfhinklikens.
Neist it op it stuit beskikbere twa-faktor autentikaasjeskema basearre op applikaasjes foar it generearjen fan ienmalige wachtwurden (Authy, Google Authenticator, FreeOTP, ensfh.), planne se yn april 2022 de mooglikheid ta te foegjen om hardware-kaaien en biometryske scanners te brûken, foar dy't stipe is foar it WebAuthn-protokol, en ek de mooglikheid om ferskate ekstra autentikaasjefaktoaren te registrearjen en te behearjen.
Lit ús ûnthâlde dat, neffens in stúdzje útfierd yn 2020, mar 9.27% fan pakketûnderhâlders twa-faktor autentikaasje brûkt om tagong te beskermjen, en yn 13.37% fan 'e gefallen, by it registrearjen fan nije akkounts, ûntwikkelders besochten kompromittearre wachtwurden opnij te brûken dy't ferskynden yn bekend wachtwurd lekkages. Tidens in beoardieling fan wachtwurdfeiligens waard 12% fan NPM-akkounts (13% fan pakketten) tagong krigen troch it brûken fan foarsisbere en triviale wachtwurden lykas "123456." Under de problematyske wiene 4 brûkersakkounts fan 'e Top 20 populêrste pakketten, 13 akkounts mei pakketten dy't mear dan 50 miljoen kear yn 'e moanne downloade, 40 mei mear dan 10 miljoen downloads per moanne, en 282 mei mear dan 1 miljoen downloads per moanne. Mei it rekkenjen fan it laden fan modules lâns in keten fan ôfhinklikens, kin kompromis fan net-fertroude akkounts oant 52% fan alle modules yn NPM beynfloedzje.
Boarne: opennet.ru