På grunn av de økende tilfellene av arkiver for store prosjekter som blir kapret og ondsinnet kode fremmet gjennom kompromittering av utviklerkontoer, introduserer GitHub omfattende utvidet kontoverifisering. Separat vil obligatorisk tofaktorautentisering bli introdusert for vedlikeholdere og administratorer av de 500 mest populære NPM-pakkene tidlig neste år.
Fra 7. desember 2021 til 4. januar 2022 vil alle vedlikeholdere som har rett til å publisere NPM-pakker, men ikke bruker tofaktorautentisering, gå over til å bruke utvidet kontoverifisering. Avansert verifisering krever at du oppgir en engangskode sendt via e-post når du prøver å logge på npmjs.com-nettstedet eller utføre en autentisert operasjon i npm-verktøyet.
Forbedret verifisering erstatter ikke, men kompletterer, den tidligere tilgjengelige valgfrie tofaktorautentiseringen, som krever bekreftelse ved å bruke engangspassord (TOTP). Når tofaktorautentisering er aktivert, brukes ikke utvidet e-postbekreftelse. Fra 1. februar 2022 starter prosessen med å bytte til obligatorisk tofaktorautentisering for vedlikeholderne av de 100 mest populære NPM-pakkene med det største antallet avhengigheter. Etter å ha fullført migreringen av de første hundre, vil endringen bli distribuert til de 500 mest populære NPM-pakkene etter antall avhengigheter.
I tillegg til den tilgjengelige tofaktorautentiseringsordningen basert på applikasjoner for å generere engangspassord (Authy, Google Authenticator, FreeOTP, etc.), planlegger de i april 2022 å legge til muligheten til å bruke maskinvarenøkler og biometriske skannere, for som det er støtte for WebAuthn-protokollen, og også muligheten til å registrere og administrere ulike ekstra autentiseringsfaktorer.
La oss huske at, ifølge en studie utført i 2020, bruker bare 9.27 % av pakkevedlikeholderne tofaktorautentisering for å beskytte tilgang, og i 13.37 % av tilfellene, når de registrerte nye kontoer, prøvde utviklere å gjenbruke kompromitterte passord som dukket opp i kjente passordlekkasjer. Under en passordsikkerhetsgjennomgang ble 12 % av NPM-kontoene (13 % av pakkene) åpnet på grunn av bruken av forutsigbare og trivielle passord som «123456». Blant de problematiske var 4 brukerkontoer fra de 20 mest populære pakkene, 13 kontoer med pakker lastet ned mer enn 50 millioner ganger per måned, 40 med mer enn 10 millioner nedlastinger per måned, og 282 med mer enn 1 million nedlastinger per måned. Tatt i betraktning lasting av moduler langs en kjede av avhengigheter, kan kompromittering av uklarerte kontoer påvirke opptil 52 % av alle moduler i NPM.
Kilde: opennet.ru