GitHub heeft aangekondigd dat NPM-repository's tweefactorauthenticatie mogelijk maken voor de 100 NPM-pakketten die als afhankelijkheden in het grootste aantal pakketten zijn opgenomen. Beheerders van deze pakketten kunnen nu alleen geauthenticeerde repository-bewerkingen uitvoeren nadat tweefactorauthenticatie is ingeschakeld, waarvoor aanmeldingsbevestiging vereist is met eenmalige wachtwoorden (TOTP) gegenereerd door applicaties zoals Authy, Google Authenticator en FreeOTP. In de nabije toekomst zijn ze van plan om naast TOTP de mogelijkheid toe te voegen om hardwaresleutels en biometrische scanners te gebruiken die het WebAuth-protocol ondersteunen.
Het is de bedoeling om op 1 maart alle NPM-accounts waarvoor tweefactorauthenticatie niet is ingeschakeld, over te zetten naar uitgebreide accountverificatie, waarvoor een eenmalige code moet worden ingevoerd die per e-mail wordt verzonden wanneer wordt geprobeerd in te loggen op npmjs.com of een geverifieerde account uit te voeren. bewerking in het npm-hulpprogramma. Wanneer tweefactorauthenticatie is ingeschakeld, wordt er geen uitgebreide e-mailverificatie toegepast. Op 16 en 13 februari wordt een tijdelijke proeflancering van uitgebreide verificatie voor alle accounts gedurende een dag uitgevoerd.
Laten we niet vergeten dat volgens een onderzoek uit 2020 slechts 9.27% van de pakketbeheerders tweefactorauthenticatie gebruikte om de toegang te beschermen, en dat ontwikkelaars in 13.37% van de gevallen bij het registreren van nieuwe accounts probeerden gecompromitteerde wachtwoorden te hergebruiken die in bekende wachtwoord lekt. Tijdens een wachtwoordbeveiligingsbeoordeling werd 12% van de NPM-accounts (13% van de pakketten) benaderd vanwege het gebruik van voorspelbare en triviale wachtwoorden zoals ‘123456’. Tot de problematische behoorden vier gebruikersaccounts uit de Top 4 van meest populaire pakketten, 20 accounts met pakketten die meer dan 13 miljoen keer per maand werden gedownload, 50 met meer dan 40 miljoen downloads per maand en 10 met meer dan 282 miljoen downloads per maand. Rekening houdend met het laden van modules langs een keten van afhankelijkheden, kan het compromitteren van niet-vertrouwde accounts tot 1% van alle modules in NPM beïnvloeden.
Bron: opennet.ru