Tā kā pieaug lielu projektu repozitoriju nolaupīšanas gadījumi un ļaunprātīga koda reklamēšana, apdraudot izstrādātāju kontus, GitHub ievieš plaši izplatītu konta verifikāciju. Atsevišķi nākamā gada sākumā tiks ieviesta obligātā divu faktoru autentifikācija 500 populārāko NPM pakotņu uzturētājiem un administratoriem.
No 7. gada 2021. decembra līdz 4. gada 2022. janvārim visi uzturētāji, kuriem ir tiesības publicēt NPM pakotnes, bet neizmanto divu faktoru autentifikāciju, tiks pārslēgti uz paplašinātās konta verifikācijas izmantošanu. Papildu verifikācijai ir jāievada vienreizējs kods, kas nosūtīts pa e-pastu, mēģinot pieteikties vietnē npmjs.com vai veikt autentificētu darbību utilītprogrammā npm.
Uzlabotā verifikācija neaizstāj, bet tikai papildina iepriekš pieejamo izvēles divu faktoru autentifikāciju, kurai nepieciešams apstiprinājums, izmantojot vienreizējās paroles (TOTP). Ja ir iespējota divu faktoru autentifikācija, paplašinātā e-pasta verifikācija netiek piemērota. Sākot ar 1. gada 2022. februāri, 100 populārāko NPM pakotņu uzturētājiem ar lielāko atkarību skaitu sāksies pāreja uz obligāto divu faktoru autentifikāciju. Pēc pirmā simta migrācijas pabeigšanas izmaiņas tiks sadalītas 500 populārākajās NPM pakotnēs pēc atkarību skaita.
Papildus šobrīd pieejamajai divu faktoru autentifikācijas shēmai, kuras pamatā ir lietojumprogrammas vienreizējo paroļu ģenerēšanai (Authy, Google Authenticator, FreeOTP u.c.), 2022. gada aprīlī viņi plāno pievienot iespēju izmantot aparatūras atslēgas un biometriskos skenerus. kurā ir WebAuthn protokola atbalsts, kā arī iespēja reģistrēt un pārvaldīt dažādus papildu autentifikācijas faktorus.
Atcerēsimies, ka saskaņā ar 2020. gadā veikto pētījumu tikai 9.27% pakotņu uzturētāju izmanto divu faktoru autentifikāciju, lai aizsargātu piekļuvi, un 13.37% gadījumu, reģistrējot jaunus kontus, izstrādātāji mēģināja atkārtoti izmantot uzlauztās paroles, kas parādījās zināmas paroles noplūdes. Paroles drošības pārbaudes laikā 12% NPM kontu (13% pakotņu) tika piekļūti, jo tika izmantotas paredzamas un nenozīmīgas paroles, piemēram, “123456”. Starp problemātiskajiem bija 4 lietotāju konti no 20 populārākajām pakotnēm, 13 konti ar pakotnēm, kas lejupielādētas vairāk nekā 50 miljonus reižu mēnesī, 40 konti ar vairāk nekā 10 miljoniem lejupielāžu mēnesī un 282 konti ar vairāk nekā 1 miljonu lejupielāžu mēnesī. Ņemot vērā moduļu ielādi pa atkarību ķēdi, neuzticamu kontu kompromitēšana var ietekmēt līdz pat 52% no visiem NPM moduļiem.
Avots: opennet.ru