Akòz ka ogmante depo gwo pwojè yo te vòlè ak kòd move yo te ankouraje atravè konpwomi nan kont pwomotè, GitHub ap entwodwi verifikasyon kont elaji toupatou. Separeman, otantifikasyon obligatwa de faktè pral prezante pou moun k ap antreteni yo ak administratè 500 pakè NPM ki pi popilè yo nan kòmansman ane pwochèn.
Soti 7 desanm 2021 rive 4 janvye 2022, tout moun k ap antreteni yo ki gen dwa pou yo pibliye pakè NPM, men ki pa sèvi ak otantifikasyon de faktè, yo pral chanje pou itilize verifikasyon kont pwolonje. Verifikasyon avanse mande pou antre yon kòd yon sèl fwa voye pa imèl lè w ap eseye konekte sou sit entènèt npmjs.com oswa fè yon operasyon otantifye nan sèvis piblik npm.
Verifikasyon amelyore pa ranplase, men sèlman konplete, otantifikasyon opsyonèl de faktè ki te disponib deja, ki mande pou konfimasyon lè l sèvi avèk modpas yon sèl fwa (TOTP). Lè otantifikasyon de-faktè pèmèt, verifikasyon imel pwolonje pa aplike. Apati 1ye fevriye 2022, pwosesis pou chanje nan otantifikasyon obligatwa de faktè pral kòmanse pou moun ki kenbe 100 pakè NPM ki pi popilè yo ak pi gwo kantite depandans yo. Apre yo fin ranpli migrasyon premye san an, chanjman an pral distribye nan 500 pakè NPM ki pi popilè yo dapre kantite depandans yo.
Anplis de konplo otantifikasyon de faktè ki disponib kounye a ki baze sou aplikasyon pou jenere modpas yon sèl fwa (Authy, Google Authenticator, FreeOTP, elatriye), nan mwa avril 2022 yo planifye pou ajoute kapasite pou itilize kle pyès ki nan konpitè ak eskanè byometrik, pou ki gen sipò pou pwotokòl la WebAuthn, epi tou kapasite nan anrejistre ak jere plizyè faktè otantifikasyon adisyonèl.
Ann sonje ke, dapre yon etid ki fèt an 2020, sèlman 9.27% nan moun ki kenbe pake itilize otantifikasyon de faktè pou pwoteje aksè, ak nan 13.37% nan ka yo, lè yo anrejistre nouvo kont, devlopè yo te eseye reitilize modpas konpwomèt ki te parèt nan li te ye modpas fuites. Pandan yon revizyon sekirite modpas, yo te jwenn aksè nan 12% kont NPM (13% pakè) akòz itilizasyon modpas previzib ak trivial tankou "123456". Pami pwoblèm yo te genyen 4 kont itilizatè ki soti nan Top 20 pakè ki pi popilè yo, 13 kont ak pakè telechaje plis pase 50 milyon fwa pa mwa, 40 ak plis pase 10 milyon telechajman pa mwa, ak 282 ak plis pase 1 milyon telechajman pa mwa. Lè w konsidere chaj modil yo sou yon chèn depandans, konpwomi kont ki pa fè konfyans yo ka afekte jiska 52% tout modil nan NPM.
Sous: opennet.ru