„GitHub“ paskelbė, kad NPM saugyklos įgalina dviejų veiksnių autentifikavimą 100 NPM paketų, kurie yra įtraukti kaip priklausomybės daugiausiai paketų. Nuo šiol šių paketų prižiūrėtojai autentifikuotos saugyklos operacijas galės atlikti tik įjungę dviejų veiksnių autentifikavimą, kuriam reikalingas prisijungimo patvirtinimas naudojant vienkartinius slaptažodžius (TOTP), sugeneruotus tokių programų kaip Authy, Google Authenticator ir FreeOTP. Netolimoje ateityje, be TOTP, jie planuoja pridėti galimybę naudoti aparatūros raktus ir biometrinius skaitytuvus, palaikančius WebAuth protokolą.
Kovo 1 d., planuojama perkelti visas NPM paskyras, kuriose neįjungtas dviejų veiksnių autentifikavimas, naudoti išplėstinį paskyros patvirtinimą, kuris reikalauja įvesti vienkartinį el. paštu atsiųstą kodą bandant prisijungti prie npmjs.com arba atlikti autentifikavimą. operaciją npm paslaugų programoje. Kai įjungtas dviejų veiksnių autentifikavimas, išplėstinis el. pašto patvirtinimas netaikomas. Vasario 16 ir 13 d. bus vykdomas bandomasis laikinas išplėstinio visų paskyrų patvirtinimo paleidimas vienai dienai.
Prisiminkime, kad 2020 m. atlikto tyrimo duomenimis, tik 9.27% paketų prižiūrėtojų naudojo dviejų veiksnių autentifikavimą, kad apsaugotų prieigą, o 13.37% atvejų registruodami naujas paskyras kūrėjai bandė pakartotinai panaudoti pažeistus slaptažodžius, kurie pasirodė žinomuose. slaptažodžių nutekėjimas. Slaptažodžių saugos peržiūros metu 12 % NPM paskyrų (13 % paketų) buvo pasiekta dėl nuspėjamų ir nereikšmingų slaptažodžių, tokių kaip „123456“, naudojimo. Tarp probleminių buvo 4 vartotojų paskyros iš 20 populiariausių paketų, 13 paskyrų, kurių paketai atsisiunčiami daugiau nei 50 milijonų kartų per mėnesį, 40 su daugiau nei 10 milijonų atsisiuntimų per mėnesį ir 282 su daugiau nei 1 milijonu atsisiuntimų per mėnesį. Atsižvelgiant į modulių įkėlimą išilgai priklausomybių grandinės, nepatikimų paskyrų pažeidimas gali paveikti iki 52 % visų NPM modulių.
Šaltinis: opennet.ru