A causa dei crescenti casi di repository di grandi progetti che vengono dirottati e di codice dannoso promosso attraverso la compromissione degli account degli sviluppatori, GitHub sta introducendo una verifica estesa degli account diffusa. Separatamente, all’inizio del prossimo anno verrà introdotta l’autenticazione obbligatoria a due fattori per i manutentori e gli amministratori dei 500 pacchetti NPM più popolari.
Dal 7 dicembre 2021 al 4 gennaio 2022, tutti i manutentori che hanno il diritto di pubblicare pacchetti NPM, ma non utilizzano l'autenticazione a due fattori, passeranno all'utilizzo della verifica estesa dell'account. La verifica avanzata richiede l'inserimento di un codice monouso inviato tramite e-mail quando si tenta di accedere al sito Web npmjs.com o di eseguire un'operazione autenticata nell'utilità npm.
La verifica avanzata non sostituisce, ma solo integra l'autenticazione a due fattori opzionale precedentemente disponibile, che richiede la conferma utilizzando password monouso (TOTP). Quando è abilitata l'autenticazione a due fattori, la verifica e-mail estesa non viene applicata. A partire dal 1° febbraio 2022 inizierà il processo di passaggio all’autenticazione obbligatoria a due fattori per i manutentori dei 100 pacchetti NPM più popolari e con il maggior numero di dipendenze. Dopo aver completato la migrazione dei primi cento, la modifica verrà distribuita ai 500 pacchetti NPM più diffusi per numero di dipendenze.
Oltre allo schema di autenticazione a due fattori attualmente disponibile basato su applicazioni per la generazione di password monouso (Authy, Google Authenticator, FreeOTP, ecc.), nell'aprile 2022 si prevede di aggiungere la possibilità di utilizzare chiavi hardware e scanner biometrici, per su cui è presente il supporto al protocollo WebAuthn, oltre alla possibilità di registrarsi e gestire diversi fattori di autenticazione aggiuntivi.
Ricordiamo che, secondo uno studio condotto nel 2020, solo il 9.27% dei manutentori dei pacchetti utilizza l'autenticazione a due fattori per proteggere l'accesso e nel 13.37% dei casi, durante la registrazione di nuovi account, gli sviluppatori hanno cercato di riutilizzare le password compromesse apparse in perdite di password note. Durante un controllo di sicurezza della password, è stato effettuato l'accesso al 12% degli account NPM (13% dei pacchetti) a causa dell'uso di password prevedibili e banali come "123456". Tra quelli problematici c'erano 4 account utente della Top 20 dei pacchetti più popolari, 13 account con pacchetti scaricati più di 50 milioni di volte al mese, 40 con più di 10 milioni di download al mese e 282 con più di 1 milione di download al mese. Tenendo conto del caricamento dei moduli lungo una catena di dipendenze, la compromissione degli account non attendibili potrebbe interessare fino al 52% di tutti i moduli in NPM.
Fonte: opennet.ru