Karena meningkatnya kasus pembajakan repositori proyek besar dan kode berbahaya yang dipromosikan melalui penyusupan akun pengembang, GitHub memperkenalkan verifikasi akun yang diperluas secara luas. Secara terpisah, otentikasi dua faktor wajib akan diperkenalkan untuk pengelola dan administrator 500 paket NPM terpopuler awal tahun depan.
Mulai 7 Desember 2021 hingga 4 Januari 2022, semua pengelola yang memiliki hak untuk mempublikasikan paket NPM, namun tidak menggunakan autentikasi dua faktor, akan dialihkan menggunakan verifikasi akun yang diperpanjang. Verifikasi lanjutan memerlukan memasukkan kode satu kali yang dikirim melalui email saat mencoba masuk ke situs web npmjs.com atau melakukan operasi yang diautentikasi di utilitas npm.
Verifikasi yang ditingkatkan tidak menggantikan, tetapi hanya melengkapi, otentikasi dua faktor opsional yang tersedia sebelumnya, yang memerlukan konfirmasi menggunakan kata sandi satu kali (TOTP). Jika autentikasi dua faktor diaktifkan, verifikasi email yang diperluas tidak diterapkan. Mulai 1 Februari 2022, proses peralihan ke autentikasi dua faktor wajib akan dimulai bagi pengelola 100 paket NPM terpopuler dengan jumlah dependensi terbesar. Setelah migrasi seratus pertama selesai, perubahan akan didistribusikan ke 500 paket NPM terpopuler berdasarkan jumlah dependensi.
Selain skema autentikasi dua faktor yang tersedia saat ini berdasarkan aplikasi untuk menghasilkan kata sandi satu kali (Authy, Google Authenticator, FreeOTP, dll.), pada bulan April 2022 mereka berencana untuk menambahkan kemampuan untuk menggunakan kunci perangkat keras dan pemindai biometrik, misalnya yang mana terdapat dukungan untuk protokol WebAuthn, dan juga kemampuan untuk mendaftar dan mengelola berbagai faktor otentikasi tambahan.
Ingatlah bahwa, menurut penelitian yang dilakukan pada tahun 2020, hanya 9.27% pengelola paket yang menggunakan autentikasi dua faktor untuk melindungi akses, dan dalam 13.37% kasus, saat mendaftarkan akun baru, pengembang mencoba menggunakan kembali kata sandi yang telah disusupi yang muncul di kebocoran kata sandi yang diketahui. Selama peninjauan keamanan kata sandi, 12% akun NPM (13% dari paket) diakses karena penggunaan kata sandi yang mudah diprediksi dan sepele seperti “123456.” Di antara yang bermasalah adalah 4 akun pengguna dari 20 paket terpopuler, 13 akun dengan paket diunduh lebih dari 50 juta kali per bulan, 40 akun dengan lebih dari 10 juta unduhan per bulan, dan 282 akun dengan lebih dari 1 juta unduhan per bulan. Dengan mempertimbangkan pemuatan modul di sepanjang rantai ketergantungan, penyusupan akun yang tidak tepercaya dapat memengaruhi hingga 52% dari seluruh modul di NPM.
Sumber: opennet.ru