Vanwege het toenemende aantal gevallen waarin opslagplaatsen van grote projecten worden gekaapt en kwaadaardige code wordt gepromoot via het compromitteren van ontwikkelaarsaccounts, introduceert GitHub wijdverspreide uitgebreide accountverificatie. Daarnaast zal begin volgend jaar verplichte tweefactorauthenticatie worden geïntroduceerd voor beheerders en beheerders van de 500 populairste NPM-pakketten.
Vanaf 7 december 2021 tot en met 4 januari 2022 worden alle beheerders die het recht hebben om NPM-pakketten te publiceren, maar geen tweefactorauthenticatie gebruiken, overgezet op het gebruik van uitgebreide accountverificatie. Voor geavanceerde verificatie is het invoeren van een eenmalige code vereist die per e-mail wordt verzonden wanneer u probeert in te loggen op de website npmjs.com of een geverifieerde bewerking uit te voeren in het hulpprogramma npm.
Verbeterde verificatie vervangt niet, maar vormt slechts een aanvulling op de eerder beschikbare optionele tweefactorauthenticatie, waarvoor bevestiging met eenmalige wachtwoorden (TOTP) vereist. Wanneer tweefactorauthenticatie is ingeschakeld, wordt er geen uitgebreide e-mailverificatie toegepast. Vanaf 1 februari 2022 begint het proces van de overstap naar verplichte tweefactorauthenticatie voor de beheerders van de 100 populairste NPM-pakketten met het grootste aantal afhankelijkheden. Nadat de migratie van de eerste honderd is voltooid, wordt de wijziging op basis van het aantal afhankelijkheden gedistribueerd naar de 500 populairste NPM-pakketten.
Naast het momenteel beschikbare tweefactorauthenticatieschema, gebaseerd op applicaties voor het genereren van eenmalige wachtwoorden (Authy, Google Authenticator, FreeOTP, enz.), zijn ze van plan om in april 2022 de mogelijkheid toe te voegen om hardwaresleutels en biometrische scanners te gebruiken, voor waarbij er ondersteuning is voor het WebAuthn-protocol, en ook de mogelijkheid om verschillende aanvullende authenticatiefactoren te registreren en te beheren.
Laten we niet vergeten dat volgens een onderzoek uit 2020 slechts 9.27% van de pakketbeheerders tweefactorauthenticatie gebruikt om de toegang te beschermen, en in 13.37% van de gevallen probeerden ontwikkelaars bij het registreren van nieuwe accounts gecompromitteerde wachtwoorden te hergebruiken die verschenen in bekende wachtwoordlekken. Tijdens een wachtwoordbeveiligingsbeoordeling werd 12% van de NPM-accounts (13% van de pakketten) benaderd vanwege het gebruik van voorspelbare en triviale wachtwoorden zoals ‘123456’. Tot de problematische behoorden vier gebruikersaccounts uit de Top 4 van meest populaire pakketten, 20 accounts met pakketten die meer dan 13 miljoen keer per maand werden gedownload, 50 met meer dan 40 miljoen downloads per maand en 10 met meer dan 282 miljoen downloads per maand. Rekening houdend met het laden van modules langs een reeks afhankelijkheden, kan het compromitteren van niet-vertrouwde accounts tot 1% van alle modules in NPM beïnvloeden.
Bron: opennet.ru