Zbog sve češćih slučajeva otimanja repozitorija velikih projekata i promoviranja zlonamjernog koda kroz kompromitaciju računa programera, GitHub uvodi široko rasprostranjenu proširenu provjeru računa. Zasebno, obvezna dvofaktorska autentifikacija bit će uvedena za održavatelje i administratore 500 najpopularnijih NPM paketa početkom sljedeće godine.
Od 7. prosinca 2021. do 4. siječnja 2022. svi održavatelji koji imaju pravo objavljivanja NPM paketa, ali ne koriste dvofaktorsku autentifikaciju, bit će prebačeni na korištenje proširene verifikacije računa. Napredna provjera zahtijeva unos jednokratnog koda koji se šalje e-poštom kada se pokušavate prijaviti na web mjesto npmjs.com ili izvršiti autentificiranu operaciju u uslužnom programu npm.
Poboljšana provjera ne zamjenjuje, već samo nadopunjuje prethodno dostupnu izbornu provjeru autentičnosti u dva faktora, koja zahtijeva potvrdu korištenjem jednokratnih lozinki (TOTP). Kada je omogućena dvofaktorska autentifikacija, proširena provjera e-pošte se ne primjenjuje. Od 1. veljače 2022. započet će proces prelaska na obaveznu dvofaktorsku autentifikaciju za održavatelje 100 najpopularnijih NPM paketa s najvećim brojem ovisnosti. Nakon završetka migracije prvih stotinu, promjena će biti raspodijeljena na 500 najpopularnijih NPM paketa prema broju ovisnosti.
Uz trenutno dostupnu shemu dvofaktorske autentifikacije koja se temelji na aplikacijama za generiranje jednokratnih lozinki (Authy, Google Authenticator, FreeOTP itd.), u travnju 2022. planiraju dodati mogućnost korištenja hardverskih ključeva i biometrijskih skenera, za koji postoji podrška za protokol WebAuthn, kao i mogućnost registracije i upravljanja raznim dodatnim faktorima provjere autentičnosti.
Prisjetimo se da, prema studiji provedenoj 2020. godine, samo 9.27% održavatelja paketa koristi dvofaktorsku autentifikaciju za zaštitu pristupa, a u 13.37% slučajeva, prilikom registracije novih računa, programeri su pokušali ponovno upotrijebiti ugrožene lozinke koje su se pojavile u poznato curenje lozinki. Tijekom provjere sigurnosti lozinki, pristupilo se 12% NPM računa (13% paketa) zbog upotrebe predvidljivih i trivijalnih lozinki kao što je "123456." Među problematičnima su bila 4 korisnička računa iz Top 20 najpopularnijih paketa, 13 računa s paketima preuzetim više od 50 milijuna puta mjesečno, 40 s više od 10 milijuna preuzimanja mjesečno i 282 s više od milijun preuzimanja mjesečno. Uzimajući u obzir učitavanje modula duž lanca ovisnosti, kompromitacija nepouzdanih računa mogla bi utjecati na do 1% svih modula u NPM-u.
Izvor: opennet.ru