GitHub mengumumkan bahawa repositori NPM mendayakan pengesahan dua faktor untuk 100 pakej NPM yang disertakan sebagai kebergantungan dalam bilangan pakej terbesar. Penyelenggara pakej ini kini boleh melakukan operasi repositori yang disahkan hanya selepas mendayakan pengesahan dua faktor, yang memerlukan pengesahan log masuk menggunakan kata laluan sekali (TOTP) yang dijana oleh aplikasi seperti Authy, Google Authenticator dan FreeOTP. Dalam masa terdekat, sebagai tambahan kepada TOTP, mereka merancang untuk menambah keupayaan untuk menggunakan kunci perkakasan dan pengimbas biometrik yang menyokong protokol WebAuth.
Pada 1 Mac, ia dirancang untuk memindahkan semua akaun NPM yang tidak mempunyai pengesahan dua faktor yang didayakan untuk menggunakan pengesahan akaun lanjutan, yang memerlukan memasukkan kod sekali sahaja yang dihantar melalui e-mel apabila cuba log masuk ke npmjs.com atau melakukan pengesahan akaun. operasi dalam utiliti npm. Apabila pengesahan dua faktor didayakan, pengesahan e-mel lanjutan tidak digunakan. Pada 16 dan 13 Februari, percubaan pelancaran sementara pengesahan lanjutan untuk semua akaun akan dijalankan selama sehari.
Mari kita ingat bahawa menurut kajian yang dijalankan pada tahun 2020, hanya 9.27% ββpenyelenggara pakej menggunakan pengesahan dua faktor untuk melindungi akses, dan dalam 13.37% kes, apabila mendaftar akaun baharu, pembangun cuba menggunakan semula kata laluan yang dikompromi yang muncul dalam yang diketahui. kata laluan bocor. Semasa semakan keselamatan kata laluan, 12% daripada akaun NPM (13% daripada pakej) telah diakses kerana penggunaan kata laluan yang boleh diramal dan remeh seperti "123456." Antara yang bermasalah ialah 4 akaun pengguna daripada Top 20 pakej paling popular, 13 akaun dengan pakej dimuat turun lebih daripada 50 juta kali sebulan, 40 dengan lebih daripada 10 juta muat turun sebulan, dan 282 dengan lebih daripada 1 juta muat turun sebulan. Dengan mengambil kira pemuatan modul sepanjang rantaian kebergantungan, pencerobohan akaun yang tidak dipercayai boleh menjejaskan sehingga 52% daripada semua modul dalam NPM.
Sumber: opennet.ru