Amarga tambah akeh kasus repositori proyek gedhe sing dibajak lan kode jahat dipromosekake liwat kompromi akun pangembang, GitHub ngenalake verifikasi akun sing wis ditambahi. Kapisah, otentikasi rong faktor wajib bakal diwenehake kanggo pangurus lan pangurus 500 paket NPM paling populer ing awal taun ngarep.
Wiwit 7 Desember 2021 nganti 4 Januari 2022, kabeh pangurus sing duwe hak nerbitake paket NPM, nanging ora nggunakake otentikasi rong faktor, bakal dialihake nggunakake verifikasi akun lengkap. Verifikasi majeng mbutuhake ngetik kode siji-wektu sing dikirim liwat email nalika nyoba mlebu menyang situs web npmjs.com utawa nindakake operasi sing wis dikonfirmasi ing utilitas npm.
Verifikasi sing ditingkatake ora ngganti, nanging mung nglengkapi, otentikasi rong faktor opsional sing kasedhiya sadurunge, sing mbutuhake konfirmasi nggunakake tembung sandhi siji-wektu (TOTP). Nalika otentikasi loro-faktor diaktifake, verifikasi email lengkap ora ditrapake. Wiwit tanggal 1 Februari 2022, proses ngalih menyang otentikasi rong faktor wajib bakal diwiwiti kanggo njaga 100 paket NPM sing paling populer kanthi jumlah dependensi paling akeh. Sawise ngrampungake migrasi satus pisanan, owah-owahan kasebut bakal disebarake menyang 500 paket NPM paling populer kanthi jumlah dependensi.
Saliyane skema otentikasi rong faktor sing saiki kasedhiya adhedhasar aplikasi kanggo ngasilake sandhi siji-wektu (Authy, Google Authenticator, FreeOTP, lsp.), Ing April 2022, dheweke ngrancang nambah kemampuan kanggo nggunakake tombol hardware lan pemindai biometrik, kanggo sing ana dhukungan kanggo protokol WebAuthn, lan uga kemampuan kanggo ndhaftar lan ngatur macem-macem faktor bukti asli tambahan.
Elinga yen, miturut panaliten sing ditindakake ing taun 2020, mung 9.27% pangurus paket nggunakake otentikasi rong faktor kanggo nglindhungi akses, lan ing 13.37% kasus, nalika ndhaptar akun anyar, pangembang nyoba nggunakake maneh sandhi sing dikompromi sing muncul ing bocor sandi dikenal. Sajrone review keamanan sandi, 12% akun NPM (13% paket) diakses amarga nggunakake tembung sandhi sing bisa diprediksi lan ora pati penting kayata "123456." Antarane masalah kasebut yaiku 4 akun pangguna saka 20 paket paling populer, 13 akun kanthi paket sing diunduh luwih saka 50 yuta kaping saben wulan, 40 kanthi luwih saka 10 yuta undhuhan saben wulan, lan 282 kanthi luwih saka 1 yuta download saben wulan. Kanthi nggatekake beban modul ing sadawane rantai dependensi, kompromi akun sing ora dipercaya bisa mengaruhi nganti 52% kabeh modul ing NPM.
Source: opennet.ru