GitHub huet ugekënnegt datt NPM Repositories zwee-Faktor Authentifikatioun fir déi 100 NPM Packagen erlaben, déi als Ofhängegkeet an der gréisster Unzuel u Packagen abegraff sinn. Ënnerhalter vun dëse Packagen kënnen elo authentifizéiert Repository Operatiounen ausféieren nodeems se Zwee-Faktor Authentifikatioun aktivéiert hunn, wat Loginbestätegung erfuerdert mat eemolege Passwierder (TOTP) generéiert vun Uwendungen wéi Authy, Google Authenticator a FreeOTP. An der nächster Zukunft, nieft TOTP, plangen se d'Fäegkeet ze addéieren fir Hardwareschlësselen a biometresch Scanner ze benotzen déi de WebAuth Protokoll ënnerstëtzen.
Den 1. Mäerz ass et geplangt all NPM Konten ze transferéieren déi keng Zwee-Faktor Authentifikatioun aktivéiert hunn fir verlängert Kontverifizéierung ze benotzen, wat erfuerdert en eemolege Code anzeginn, deen per E-Mail geschéckt gëtt wann Dir probéiert op npmjs.com ze loggen oder eng authentifizéierter Ausféierung ze maachen. Operatioun am npm Utility. Wann Zwee-Faktor Authentifikatioun aktivéiert ass, gëtt verlängert E-Mail Verifizéierung net ugewannt. De 16. an 13. Februar gëtt e Prozess temporär Start vun verlängerter Verifizéierung fir all Konte fir een Dag duerchgefouert.
Loosst eis drun erënneren datt no enger Etude déi am Joer 2020 gemaach gouf, nëmmen 9.27% vun de Package Entrepreneuren zwee-Faktor Authentifikatioun benotzt hunn fir den Zougang ze schützen, an an 13.37% vun de Fäll, bei der Enregistréiere vun neie Konten, hunn d'Entwéckler probéiert kompromittéiert Passwierder ze benotzen, déi a bekannten erschéngen. Passwuert leeft. Wärend enger Passwuertsécherheetsiwwerpréiwung goufen 12% vun NPM Konten (13% vun de Packagen) zougänglech gemaach wéinst der Benotzung vu prévisibelen an triviale Passwierder wéi "123456." Ënnert de problematesch waren 4 Benotzerkonten vun den Top20 populäersten Packagen, 13 Konte mat Pakete méi wéi 50 Millioune Mol pro Mount erofgelueden, 40 mat méi wéi 10 Milliounen Downloads pro Mount, an 282 mat méi wéi 1 Millioun Downloads pro Mount. Wann Dir d'Belaaschtung vu Moduler laanscht eng Kette vun Ofhängegkeeten berécksiichtegt, kann de Kompromëss vun onvertrauen Konten bis zu 52% vun all Moduler an NPM beaflossen.
Source: opennet.ru