Wéinst der Erhéijung vun de Fäll vu Repositories vu grousse Projete gekaaft a béiswëlleg Code gefördert duerch de Kompromëss vun Entwécklerkonten, féiert GitHub verbreet erweidert Kontverifizéierung. Separat gëtt obligatoresch Zwee-Faktor Authentifikatioun fir Ënnerhalter an Administrateuren vun den 500 populäersten NPM Packagen fréi d'nächst Joer agefouert.
Vum 7. Dezember 2021 bis de 4. Januar 2022 ginn all Ënnerhalter, déi d'Recht hunn NPM Packagen ze publizéieren, awer keng Zwee-Faktor Authentifikatioun benotzen, op eng verlängert Kontverifizéierung gewiesselt. Fortgeschratt Verifikatioun erfuerdert en eemolege Code anzeginn deen per E-Mail geschéckt gëtt wann Dir probéiert op d'npmjs.com Websäit ze loggen oder eng authentifizéiert Operatioun am npm Utility auszeféieren.
Verbesserte Verifizéierung ersetzt net, awer ergänzt nëmmen déi virdru verfügbar optional Zwee-Faktor Authentifikatioun, déi Bestätegung erfuerdert mat engem eemolege Passwuert (TOTP). Wann Zwee-Faktor Authentifikatioun aktivéiert ass, gëtt verlängert E-Mail Verifizéierung net ugewannt. Vum 1. Februar 2022 un, fänkt de Prozess vum Wiessel op obligatoresch Zwee-Faktor Authentifikatioun fir d'Inhalter vun den 100 populäersten NPM Packagen mat der gréisster Unzuel vun Ofhängegkeeten un. Nodeems d'Migratioun vun den éischten Honnert ofgeschloss ass, gëtt d'Ännerung op d'500 beléifste NPM Packagen duerch d'Zuel vun Ofhängegkeeten verdeelt.
Zousätzlech zum aktuell verfügbaren Zwee-Faktor Authentifikatiounsschema baséiert op Uwendungen fir eemoleg Passwuert ze generéieren (Authy, Google Authenticator, FreeOTP, etc.), am Abrëll 2022 plangen se d'Fäegkeet fir Hardwareschlësselen a biometresch Scanner ze benotzen, fir déi et Ënnerstëtzung fir de WebAuthn Protokoll gëtt, an och d'Fäegkeet fir verschidden zousätzlech Authentifikatiounsfaktoren ze registréieren an ze verwalten.
Loosst eis drun erënneren datt, laut enger Etude, déi am Joer 2020 gemaach gouf, nëmmen 9.27% vun de Pakethalter zwee-Faktor Authentifikatioun benotzen fir den Zougang ze schützen, an an 13.37% vun de Fäll, wann Dir nei Konten registréiert, hunn d'Entwéckler probéiert kompromittéiert Passwierder ze benotzen déi an bekannt Passwuert Fuite. Wärend enger Passwuertsécherheetsiwwerpréiwung goufen 12% vun NPM Konten (13% vun de Packagen) zougänglech gemaach wéinst der Benotzung vu prévisibelen an triviale Passwierder wéi "123456." Ënnert de problematesch waren 4 Benotzerkonten aus den Top 20 beléifste Packagen, 13 Konte mat Pakete méi wéi 50 Millioune Mol pro Mount erofgelueden, 40 mat méi wéi 10 Milliounen Downloads pro Mount, an 282 mat méi wéi 1 Millioun Downloads pro Mount. Wann Dir d'Belaaschtung vu Moduler laanscht eng Kette vun Ofhängegkeeten berécksiichtegt, kann de Kompromëss vun onvertrauen Konten bis zu 52% vun all Moduler an NPM beaflossen.
Source: opennet.ru