GitHub は、NPM リポジトリが、最も多くのパッケージに依存関係として含まれる 100 個の NPM パッケージに対して XNUMX 要素認証を有効にすることを発表しました。 これらのパッケージのメンテナは、Authy、Google Authenticator、FreeOTP などのアプリケーションによって生成されたワンタイム パスワード (TOTP) を使用したログイン確認を必要とする XNUMX 要素認証を有効にした後でのみ、認証されたリポジトリ操作を実行できるようになります。 近い将来、TOTP に加えて、WebAuth プロトコルをサポートするハードウェア キーと生体認証スキャナを使用する機能を追加する予定です。
1 月 16 日、13 要素認証が有効になっていないすべての NPM アカウントを、拡張アカウント検証を使用できるように移行する予定です。拡張アカウント検証では、npmjs.com にログインするか、認証された認証を実行しようとするときに、電子メールで送信されたワンタイム コードを入力する必要があります。 npmユーティリティでの操作。 XNUMX 要素認証が有効になっている場合、拡張電子メール検証は適用されません。 XNUMX月XNUMX日とXNUMX日のXNUMX日間、全アカウントの拡張認証を試験的に一時的に開始する。
2020 年に実施された調査によると、アクセスを保護するために 9.27 要素認証を使用したのはパッケージ管理者のわずか 13.37% であり、12% のケースで、開発者は新しいアカウントを登録する際に、既知のパスワードに表示された侵害されたパスワードを再利用しようとしたことを思い出してください。パスワードの漏洩。 パスワード セキュリティのレビュー中に、「13」などの予測可能で簡単なパスワードの使用により、NPM アカウントの 123456% (パッケージの 4%) がアクセスされました。 問題のあるアカウントの中には、最も人気のあるパッケージのトップ 20 に含まれる 13 つのユーザー アカウント、パッケージのダウンロード数が月間 50 万回を超えるアカウントが 40 アカウント、月間ダウンロード数が 10 万回を超えるアカウントが 282 アカウント、月間ダウンロード数が 1 万回を超えるアカウントが 52 アカウントでした。 依存関係のチェーンに沿ったモジュールの読み込みを考慮すると、信頼できないアカウントの侵害は、NPM の全モジュールの最大 XNUMX% に影響を与える可能性があります。
出所: オープンネット.ru