A fejlesztői fiókok feltörésével egyre gyakoribb a nagy projektek adattárainak eltérítése és a rosszindulatú kódok népszerűsítése, a GitHub széles körben elterjedt kiterjesztett fiókellenőrzést vezet be. A jövő év elején külön bevezetik a kötelező kétfaktoros hitelesítést az 500 legnépszerűbb NPM-csomag karbantartói és rendszergazdái számára.
7. december 2021-től 4. január 2022-ig minden olyan karbantartó, aki jogosult NPM-csomagok közzétételére, de nem használ kéttényezős hitelesítést, kiterjesztett fiókellenőrzésre áll át. A speciális ellenőrzéshez egy e-mailben küldött egyszeri kód megadása szükséges, amikor megpróbál bejelentkezni az npmjs.com webhelyre, vagy hitelesített műveletet hajt végre az npm segédprogramban.
A továbbfejlesztett ellenőrzés nem helyettesíti, csak kiegészíti a korábban elérhető opcionális kéttényezős hitelesítést, amelyhez egyszeri jelszavakkal (TOTP) kell visszaigazolni. Ha a kéttényezős hitelesítés engedélyezve van, a kiterjesztett e-mail-ellenőrzés nem kerül alkalmazásra. 1. február 2022-jétől a 100 legnépszerűbb, legnagyobb függőséggel rendelkező NPM-csomag fenntartóinál megkezdődik a kötelező kétfaktoros hitelesítésre való átállás folyamata. Az első száz migrációjának befejezése után a változás az 500 legnépszerűbb NPM-csomag között lesz szétosztva a függőségek száma szerint.
A jelenleg elérhető, egyszeri jelszavakat generáló alkalmazásokon (Authy, Google Authenticator, FreeOTP stb.) alapuló, kéttényezős hitelesítési séma mellett 2022 áprilisában tervezik a hardverkulcsok és biometrikus szkennerek használatának lehetőségét is bővíteni. amely támogatja a WebAuthn protokollt, valamint képes regisztrálni és kezelni különféle további hitelesítési tényezőket.
Emlékezzünk arra, hogy egy 2020-ban készült tanulmány szerint a csomagkarbantartóknak mindössze 9.27%-a használ kétfaktoros hitelesítést a hozzáférés védelmére, az esetek 13.37%-ában pedig új fiókok regisztrálásakor próbálták meg újra felhasználni a fejlesztők a feltört jelszavakat. ismert jelszószivárgás. A jelszóbiztonsági felülvizsgálat során az NPM-fiókok 12%-ához (a csomagok 13%-ához) hozzáfértek kiszámítható és triviális jelszavak, például az „123456” jelszavak miatt. A problémások között volt 4 felhasználói fiók a Top 20 legnépszerűbb csomagból, 13 fiók több mint 50 milliószor letöltött havonta, 40 több mint 10 millió letöltéssel havonta, 282 pedig több mint 1 millió letöltéssel havonta. Figyelembe véve a modulok betöltését a függőségi lánc mentén, a nem megbízható fiókok feltörése az NPM összes moduljának akár 52%-át is érintheti.
Forrás: opennet.ru