GitHub ha annunciato che i repository NPM abilitano l'autenticazione a due fattori per i 100 pacchetti NPM inclusi come dipendenze nel maggior numero di pacchetti. I manutentori di questi pacchetti saranno ora in grado di eseguire operazioni di repository autenticate solo dopo aver abilitato l'autenticazione a due fattori, che richiede la conferma dell'accesso utilizzando password monouso (TOTP) generate da applicazioni come Authy, Google Authenticator e FreeOTP. Nel prossimo futuro, oltre a TOTP, si prevede di aggiungere la possibilità di utilizzare chiavi hardware e scanner biometrici che supportino il protocollo WebAuth.
Il 1° marzo è previsto il trasferimento di tutti gli account NPM che non hanno l'autenticazione a due fattori abilitata per utilizzare la verifica estesa dell'account, che richiede l'inserimento di un codice monouso inviato via e-mail quando si tenta di accedere a npmjs.com o eseguire un'autenticazione operazione nell'utilità npm. Quando è abilitata l'autenticazione a due fattori, la verifica e-mail estesa non viene applicata. Il 16 e 13 febbraio verrà effettuato un lancio temporaneo di prova della verifica estesa per tutti gli account per un giorno.
Ricordiamo che secondo uno studio condotto nel 2020, solo il 9.27% dei manutentori dei pacchetti ha utilizzato l'autenticazione a due fattori per proteggere l'accesso e nel 13.37% dei casi, durante la registrazione di nuovi account, gli sviluppatori hanno cercato di riutilizzare password compromesse apparse in siti noti perdite di password. Durante un controllo sulla sicurezza delle password, è stato effettuato l'accesso al 12% degli account NPM (13% dei pacchetti) a causa dell'uso di password prevedibili e banali come "123456". Tra quelli problematici c'erano 4 account utente della Top 20 dei pacchetti più popolari, 13 account con pacchetti scaricati più di 50 milioni di volte al mese, 40 con più di 10 milioni di download al mese e 282 con più di 1 milione di download al mese. Tenendo conto del caricamento dei moduli lungo una catena di dipendenze, la compromissione degli account non attendibili potrebbe interessare fino al 52% di tutti i moduli in NPM.
Fonte: opennet.ru