大規模プロジェクトのリポジトリがハイジャックされ、開発者アカウントの侵害を通じて悪意のあるコードが促進されるケースが増加しているため、GitHub は広範囲に拡張されたアカウント検証を導入しています。 これとは別に、来年初めに、最も人気のある 500 の NPM パッケージのメンテナと管理者に対して、必須の XNUMX 要素認証が導入されます。
7 年 2021 月 4 日から 2022 年 XNUMX 月 XNUMX 日まで、NPM パッケージを公開する権利があるが XNUMX 要素認証を使用していないすべてのメンテナーは、拡張アカウント検証の使用に切り替えられます。 高度な検証では、npmjs.com Web サイトにログインするとき、または npm ユーティリティで認証された操作を実行するときに、電子メールで送信されたワンタイム コードを入力する必要があります。
強化された検証は、以前に利用可能であったオプションの 1 要素認証 (ワンタイム パスワード (TOTP) を使用した確認を必要とする) を置き換えるものではなく、補完するだけです。 2022 要素認証が有効になっている場合、拡張電子メール検証は適用されません。 100 年 500 月 XNUMX 日より、最も多くの依存関係を持つ最も人気のある XNUMX 個の NPM パッケージのメンテナーを対象に、必須の XNUMX 要素認証に切り替えるプロセスが開始されます。 最初の XNUMX 個の移行が完了すると、変更は依存関係の数に基づいて最も人気のある XNUMX 個の NPM パッケージに配布されます。
現在利用可能な、ワンタイム パスワードを生成するアプリケーション (Authy、Google Authenticator、FreeOTP など) に基づく 2022 要素認証スキームに加えて、XNUMX 年 XNUMX 月には、ハードウェア キーと生体認証スキャナを使用する機能を追加する予定です。これには、WebAuthn プロトコルがサポートされており、さまざまな追加の認証要素を登録および管理する機能もあります。
2020 年に実施された調査によると、アクセスを保護するために 9.27 要素認証を使用しているのはパッケージ管理者のわずか 13.37% であり、12% のケースで、開発者は新しいアカウントを登録する際に、漏洩したパスワードを再利用しようとしたことを思い出してください。既知のパスワードの漏洩。 パスワード セキュリティのレビュー中に、「13」などの予測可能で簡単なパスワードの使用により、NPM アカウントの 123456% (パッケージの 4%) がアクセスされました。 問題のあるアカウントの中には、最も人気のあるパッケージのトップ 20 に含まれる 13 つのユーザー アカウント、パッケージのダウンロード数が月間 50 万回を超えるアカウントが 40 アカウント、月間ダウンロード数が 10 万回を超えるアカウントが 282 アカウント、月間ダウンロード数が 1 万回を超えるアカウントが 52 アカウントでした。 依存関係のチェーンに沿ったモジュールの読み込みを考慮すると、信頼できないアカウントの侵害は、NPM の全モジュールの最大 XNUMX% に影響を与える可能性があります。
出所: オープンネット.ru