Debido ao aumento dos casos en que se secuestran repositorios de grandes proxectos e se promove código malicioso a través do compromiso das contas de desenvolvedores, GitHub está a introducir unha verificación de contas ampliada. Por separado, introducirase a autenticación obrigatoria de dous factores para os mantedores e administradores dos 500 paquetes NPM máis populares a principios do próximo ano.
Desde o 7 de decembro de 2021 ata o 4 de xaneiro de 2022, todos os mantedores que teñan dereito a publicar paquetes NPM, pero que non utilicen a autenticación de dous factores, pasarán a utilizar a verificación de conta estendida. A verificación avanzada require introducir un código único enviado por correo electrónico cando se tenta iniciar sesión no sitio web npmjs.com ou realizar unha operación autenticada na utilidade npm.
A verificación mellorada non substitúe, senón que só complementa, a autenticación opcional de dous factores dispoñible anteriormente, que require confirmación mediante contrasinais únicos (TOTP). Cando a autenticación de dous factores está activada, a verificación de correo electrónico estendida non se aplica. A partir do 1 de febreiro de 2022, comezará o proceso de cambio á autenticación obrigatoria de dous factores para os mantedores dos 100 paquetes NPM máis populares con maior número de dependencias. Despois de completar a migración dos cen primeiros, o cambio distribuirase aos 500 paquetes NPM máis populares segundo o número de dependencias.
Ademais do esquema de autenticación de dous factores dispoñible actualmente baseado en aplicacións para xerar contrasinais únicos (Authy, Google Authenticator, FreeOTP, etc.), en abril de 2022 prevén engadir a posibilidade de utilizar claves de hardware e escáneres biométricos, para que hai soporte para o protocolo WebAuthn, e tamén a capacidade de rexistrar e xestionar varios factores de autenticación adicionais.
Lembremos que, segundo un estudo realizado en 2020, só o 9.27% dos mantedores de paquetes usan a autenticación de dous factores para protexer o acceso, e no 13.37% dos casos, ao rexistrar novas contas, os desenvolvedores tentaron reutilizar contrasinais comprometidos que apareceron en fugas de contrasinais coñecidas. Durante unha revisión de seguranza do contrasinal, accedeuse ao 12% das contas de NPM (o 13% dos paquetes) debido ao uso de contrasinais predicibles e triviais como "123456". Entre as problemáticas figuraban 4 contas de usuarios dos 20 paquetes máis populares, 13 contas con paquetes descargados máis de 50 millóns de veces ao mes, 40 con máis de 10 millóns de descargas ao mes e 282 con máis de 1 millón de descargas ao mes. Tendo en conta a carga de módulos ao longo dunha cadea de dependencias, o compromiso de contas non fiables pode afectar ata o 52% de todos os módulos en NPM.
Fonte: opennet.ru