A GitHub bejelentette, hogy az NPM-tárolók kéttényezős hitelesítést tesznek lehetővé azon 100 NPM-csomagok számára, amelyek a legtöbb csomagban függőségként szerepelnek. Ezeknek a csomagoknak a fenntartói mostantól csak a kéttényezős hitelesítés engedélyezése után hajthatnak végre hitelesített adattárműveleteket, amihez a bejelentkezés megerősítése szükséges az olyan alkalmazások által generált egyszeri jelszavakkal (TOTP), mint az Authy, a Google Authenticator és a FreeOTP. A közeljövőben a TOTP mellett a WebAuth protokollt támogató hardverkulcsok és biometrikus szkennerek használatának lehetőségét is tervezik hozzáadni.
Március 1-jén a tervek szerint az összes olyan NPM-fiókot, amely nem rendelkezik kéttényezős hitelesítéssel, kiterjesztett fiókellenőrzésre helyezzük át, amihez egy e-mailben küldött egyszeri kód megadása szükséges az npmjs.com oldalra történő bejelentkezéshez vagy hitelesítéshez. műveletet az npm segédprogramban. Ha a kéttényezős hitelesítés engedélyezve van, a kiterjesztett e-mail-ellenőrzés nem kerül alkalmazásra. Február 16-án és 13-án egy napos próbaverziót hajtanak végre az összes fiók kiterjesztett ellenőrzésére.
Emlékezzünk arra, hogy egy 2020-ban készült tanulmány szerint a csomagkarbantartók mindössze 9.27%-a használt kétfaktoros hitelesítést a hozzáférés védelmére, az esetek 13.37%-ában pedig az új fiókok regisztrálásakor próbálták meg újra felhasználni a fejlesztők az ismertekben megjelent feltört jelszavakat. jelszó szivárog. A jelszóbiztonsági felülvizsgálat során az NPM-fiókok 12%-ához (a csomagok 13%-ához) hozzáfértek kiszámítható és triviális jelszavak, például az „123456” jelszavak miatt. A problémások között volt 4 felhasználói fiók a Top 20 legnépszerűbb csomagból, 13 fiók több mint 50 milliószor letöltött havonta, 40 több mint 10 millió letöltéssel havonta, 282 pedig több mint 1 millió letöltéssel havonta. Figyelembe véve a modulok betöltését a függőségi lánc mentén, a nem megbízható fiókok feltörése az NPM összes moduljának akár 52%-át is érintheti.
Forrás: opennet.ru