Disebabkan oleh peningkatan kes repositori projek besar yang dirampas dan kod hasad dipromosikan melalui kompromi akaun pembangun, GitHub memperkenalkan pengesahan akaun yang diperluaskan secara meluas. Secara berasingan, pengesahan dua faktor wajib akan diperkenalkan untuk penyelenggara dan pentadbir 500 pakej NPM paling popular awal tahun depan.
Mulai 7 Disember 2021 hingga 4 Januari 2022, semua penyelenggara yang mempunyai hak untuk menerbitkan pakej NPM, tetapi tidak menggunakan pengesahan dua faktor, akan ditukar kepada menggunakan pengesahan akaun lanjutan. Pengesahan lanjutan memerlukan memasukkan kod sekali sahaja yang dihantar melalui e-mel apabila cuba log masuk ke tapak web npmjs.com atau melakukan operasi yang disahkan dalam utiliti npm.
Pengesahan dipertingkatkan tidak menggantikan, tetapi hanya melengkapkan, pengesahan dua faktor pilihan yang tersedia sebelum ini, yang memerlukan pengesahan menggunakan kata laluan sekali (TOTP). Apabila pengesahan dua faktor didayakan, pengesahan e-mel lanjutan tidak digunakan. Mulai 1 Februari 2022, proses beralih kepada pengesahan dua faktor mandatori akan bermula untuk penyelenggara 100 pakej NPM paling popular dengan bilangan tanggungan terbesar. Selepas melengkapkan penghijrahan seratus pertama, perubahan itu akan diedarkan kepada 500 pakej NPM paling popular mengikut bilangan tanggungan.
Sebagai tambahan kepada skim pengesahan dua faktor yang tersedia pada masa ini berdasarkan aplikasi untuk menjana kata laluan sekali (Authy, Google Authenticator, FreeOTP, dll.), pada April 2022 mereka merancang untuk menambah keupayaan untuk menggunakan kunci perkakasan dan pengimbas biometrik, untuk yang mana terdapat sokongan untuk protokol WebAuthn, dan juga keupayaan untuk mendaftar dan mengurus pelbagai faktor pengesahan tambahan.
Mari kita ingat bahawa, menurut kajian yang dijalankan pada tahun 2020, hanya 9.27% ββpenyelenggara pakej menggunakan pengesahan dua faktor untuk melindungi akses, dan dalam 13.37% kes, apabila mendaftar akaun baharu, pembangun cuba menggunakan semula kata laluan yang dikompromi yang muncul dalam kata laluan yang diketahui bocor. Semasa semakan keselamatan kata laluan, 12% daripada akaun NPM (13% daripada pakej) telah diakses kerana penggunaan kata laluan yang boleh diramal dan remeh seperti "123456." Antara yang bermasalah ialah 4 akaun pengguna daripada Top 20 pakej paling popular, 13 akaun dengan pakej dimuat turun lebih daripada 50 juta kali sebulan, 40 dengan lebih daripada 10 juta muat turun sebulan, dan 282 dengan lebih daripada 1 juta muat turun sebulan. Dengan mengambil kira pemuatan modul sepanjang rantaian kebergantungan, pencerobohan akaun yang tidak dipercayai boleh menjejaskan sehingga 52% daripada semua modul dalam NPM.
Sumber: opennet.ru