GitHub je objavio da NPM repozitoriji omogućuju dvofaktorsku autentifikaciju za 100 NPM paketa koji su uključeni kao ovisnosti u najvećem broju paketa. Održavatelji ovih paketa sada će moći izvoditi autentificirane operacije repozitorija tek nakon što omoguće dvofaktorsku autentifikaciju, koja zahtijeva potvrdu prijave pomoću jednokratnih lozinki (TOTP) koje generiraju aplikacije kao što su Authy, Google Authenticator i FreeOTP. U bliskoj budućnosti, uz TOTP, planiraju dodati i mogućnost korištenja hardverskih ključeva i biometrijskih skenera koji podržavaju WebAuth protokol.
1. ožujka planira se prebaciti sve NPM račune koji nemaju omogućenu dvofaktorsku autentifikaciju na korištenje proširene verifikacije računa, koja zahtijeva unos jednokratnog koda poslanog e-poštom prilikom pokušaja prijave na npmjs.com ili izvođenja autentificiranog rad u uslužnom programu npm. Kada je omogućena dvofaktorska provjera autentičnosti, proširena provjera e-pošte se ne primjenjuje. 16. i 13. veljače provest će se probno privremeno pokretanje proširene verifikacije za sve račune na jedan dan.
Prisjetimo se da je prema studiji provedenoj 2020. samo 9.27% održavatelja paketa koristilo dvofaktorsku autentifikaciju za zaštitu pristupa, a u 13.37% slučajeva, prilikom registracije novih računa, programeri su pokušali ponovno upotrijebiti ugrožene lozinke koje su se pojavile u poznatim curenje lozinki. Tijekom provjere sigurnosti lozinki, pristupilo se 12% NPM računa (13% paketa) zbog upotrebe predvidljivih i trivijalnih lozinki kao što je "123456." Među problematičnima su bila 4 korisnička računa iz Top 20 najpopularnijih paketa, 13 računa s paketima preuzetim više od 50 milijuna puta mjesečno, 40 s više od 10 milijuna preuzimanja mjesečno i 282 s više od milijun preuzimanja mjesečno. Uzimajući u obzir učitavanje modula duž lanca ovisnosti, kompromitacija nepouzdanih računa mogla bi utjecati na do 1% svih modula u NPM-u.
Izvor: opennet.ru