GitHub paziņoja, ka NPM repozitoriji nodrošina divu faktoru autentifikāciju 100 NPM pakotnēm, kas ir iekļautas kā atkarības lielākajā daļā pakotņu. Šo pakotņu uzturētāji tagad varēs veikt autentificētas repozitorija darbības tikai pēc divu faktoru autentifikācijas iespējošanas, kas prasa pieteikšanās apstiprinājumu, izmantojot vienreizējās paroles (TOTP), ko ģenerē tādas lietojumprogrammas kā Authy, Google Authenticator un FreeOTP. Tuvākajā nākotnē papildus TOTP viņi plāno pievienot iespēju izmantot aparatūras atslēgas un biometriskos skenerus, kas atbalsta WebAuth protokolu.
1.martā plānots visus NPM kontus, kuriem nav iespējota divu faktoru autentifikācija, pārcelt uz paplašināto konta verifikāciju, kas prasa ievadīt vienreizēju kodu, kas nosūtīts pa e-pastu, mēģinot pieteikties npmjs.com vai veikt autentifikāciju. darbība npm utilītprogrammā. Ja ir iespējota divu faktoru autentifikācija, paplašinātā e-pasta verifikācija netiek piemērota. 16. un 13. februārī uz vienu dienu tiks veikta visu kontu pagaidu verifikācijas izmēģinājuma versija.
Atcerēsimies, ka saskaņā ar 2020. gadā veikto pētījumu tikai 9.27% pakotņu uzturētāju izmantoja divu faktoru autentifikāciju, lai aizsargātu piekļuvi, un 13.37% gadījumu, reģistrējot jaunus kontus, izstrādātāji mēģināja atkārtoti izmantot uzlauztās paroles, kas parādījās zināmās. paroles noplūde. Paroles drošības pārbaudes laikā 12% NPM kontu (13% pakotņu) tika piekļūti, jo tika izmantotas paredzamas un nenozīmīgas paroles, piemēram, “123456”. Starp problemātiskajiem bija 4 lietotāju konti no 20 populārākajām pakotnēm, 13 konti ar pakotnēm, kas lejupielādētas vairāk nekā 50 miljonus reižu mēnesī, 40 konti ar vairāk nekā 10 miljoniem lejupielāžu mēnesī un 282 konti ar vairāk nekā 1 miljonu lejupielāžu mēnesī. Ņemot vērā moduļu ielādi pa atkarību ķēdi, neuzticamu kontu kompromitēšana var ietekmēt līdz pat 52% no visiem NPM moduļiem.
Avots: opennet.ru