Daugėjant didelių projektų saugyklų užgrobimo ir kenkėjiško kodo reklamavimo pažeidžiant kūrėjų paskyras, „GitHub“ pristato plačiai paplitusį išplėstinį paskyros patvirtinimą. Atskirai kitų metų pradžioje 500 populiariausių NPM paketų prižiūrėtojams ir administratoriams bus įvestas privalomas dviejų veiksnių autentifikavimas.
Nuo 7 m. gruodžio 2021 d. iki 4 m. sausio 2022 d. visi prižiūrėtojai, turintys teisę skelbti NPM paketus, bet nenaudojantys dviejų veiksnių autentifikavimo, bus perjungti prie išplėstinio paskyros patvirtinimo. Norint atlikti išplėstinį patvirtinimą, reikia įvesti vienkartinį kodą, išsiųstą el. paštu, kai bandote prisijungti prie npmjs.com svetainės arba atlikti autentifikuotą operaciją npm paslaugų programoje.
Patobulintas patikrinimas nepakeičia, o tik papildo anksčiau galimą pasirenkamą dviejų veiksnių autentifikavimą, kurį reikia patvirtinti naudojant vienkartinius slaptažodžius (TOTP). Kai įjungtas dviejų veiksnių autentifikavimas, išplėstinis el. pašto patvirtinimas netaikomas. Nuo 1 m. vasario 2022 d. 100 populiariausių NPM paketų, turinčių daugiausiai priklausomybių, prižiūrėtojams pradės pereiti prie privalomo dviejų veiksnių autentifikavimo. Atlikus pirmojo šimto migraciją, pakeitimas bus paskirstytas 500 populiariausių NPM paketų pagal priklausomybių skaičių.
Be šiuo metu turimos dviejų veiksnių autentifikavimo schemos, pagrįstos programomis, skirtomis vienkartiniams slaptažodžiams generuoti (Authy, Google Authenticator, FreeOTP ir kt.), 2022 m. balandžio mėn. planuojama pridėti galimybę naudoti aparatūros raktus ir biometrinius skaitytuvus. kuri palaiko WebAuthn protokolą, taip pat galimybę registruoti ir valdyti įvairius papildomus autentifikavimo veiksnius.
Prisiminkime, kad pagal 2020 m. atliktą tyrimą tik 9.27% paketų prižiūrėtojų naudoja dviejų veiksnių autentifikavimą, kad apsaugotų prieigą, o 13.37% atvejų registruodami naujas paskyras kūrėjai bandė pakartotinai panaudoti pažeistus slaptažodžius, kurie atsirado žinomų slaptažodžių nutekėjimų. Slaptažodžių saugos peržiūros metu 12 % NPM paskyrų (13 % paketų) buvo pasiekta dėl nuspėjamų ir nereikšmingų slaptažodžių, tokių kaip „123456“, naudojimo. Tarp probleminių buvo 4 vartotojų abonementai iš 20 populiariausių paketų, 13 paskyrų, kurių paketai atsisiunčiami daugiau nei 50 milijonų kartų per mėnesį, 40 su daugiau nei 10 milijonų atsisiuntimų per mėnesį ir 282 su daugiau nei 1 milijonu atsisiuntimų per mėnesį. Atsižvelgiant į modulių įkėlimą išilgai priklausomybių grandinės, nepatikimų paskyrų pažeidimas gali paveikti iki 52 % visų NPM modulių.
Šaltinis: opennet.ru