Vegna vaxandi tilvika þar sem geymslum stórra verkefna hefur verið rænt og illgjarn kóða er kynntur með málamiðlun þróunarreikninga, er GitHub að kynna víðtæka aukna reikningsstaðfestingu. Sérstaklega verður lögboðin tveggja þátta auðkenning kynnt fyrir umsjónarmenn og stjórnendur 500 vinsælustu NPM pakkana snemma á næsta ári.
Frá 7. desember 2021 til 4. janúar 2022 verður öllum viðhaldsaðilum sem hafa rétt til að birta NPM pakka, en nota ekki tvíþætta auðkenningu, skipt yfir í að nota aukna reikningsstaðfestingu. Ítarleg staðfesting krefst þess að slá inn kóða sem er sendur í eitt skipti með tölvupósti þegar reynt er að skrá sig inn á npmjs.com vefsíðuna eða framkvæma sannvottaða aðgerð í npm tólinu.
Aukin sannprófun kemur ekki í stað, heldur bætir aðeins við, áður fáanlegu valkvæða tvíþætta auðkenningu, sem krefst staðfestingar með því að nota einu sinni lykilorð (TOTP). Þegar tvíþætt auðkenning er virkjuð er aukin staðfesting á tölvupósti ekki notuð. Frá og með 1. febrúar 2022 mun ferlið við að skipta yfir í lögboðna tvíþætta auðkenningu hefjast fyrir umsjónarmenn 100 vinsælustu NPM pakkana með flesta ósjálfstæði. Eftir að hafa lokið flutningi á fyrsta hundraðinu verður breytingunni dreift á 500 vinsælustu NPM pakkana eftir fjölda ósjálfstæðra.
Til viðbótar við núverandi tveggja þátta auðkenningarkerfi sem byggir á forritum til að búa til einskiptis lykilorð (Authy, Google Authenticator, FreeOTP, osfrv.), ætla þeir í apríl 2022 að bæta við getu til að nota vélbúnaðarlykla og líffræðileg tölfræðiskanna, fyrir þar sem það er stuðningur við WebAuthn samskiptareglur, og einnig getu til að skrá og stjórna ýmsum viðbótar auðkenningarþáttum.
Við skulum muna að samkvæmt rannsókn sem gerð var árið 2020 nota aðeins 9.27% af umsjónarmönnum pakka tveggja þátta auðkenningu til að vernda aðgang og í 13.37% tilvika, við skráningu nýrra reikninga, reyndu þróunaraðilar að endurnýta hættuleg lykilorð sem birtust í þekktur lykilorðsleki. Við endurskoðun lykilorðaöryggis var farið í 12% af NPM reikningum (13% pakka) vegna notkunar fyrirsjáanlegra og léttvægra lykilorða eins og „123456“. Meðal þeirra erfiðu voru 4 notendareikningar af topp 20 vinsælustu pakkunum, 13 reikningar með pakka sem hlaðið var niður meira en 50 milljón sinnum á mánuði, 40 með meira en 10 milljón niðurhalum á mánuði og 282 með meira en 1 milljón niðurhali á mánuði. Að teknu tilliti til hleðslu eininga meðfram keðju ósjálfstæðis gæti málamiðlun á ótraustum reikningum haft áhrif á allt að 52% allra eininga í NPM.
Heimild: opennet.ru