GitHub kunngjorde at NPM-depoter muliggjør tofaktorautentisering for de 100 NPM-pakkene som er inkludert som avhengigheter i det største antallet pakker. Vedlikeholdere av disse pakkene vil nå kun kunne utføre autentiserte depotoperasjoner etter å ha aktivert tofaktorautentisering, som krever påloggingsbekreftelse ved å bruke engangspassord (TOTP) generert av applikasjoner som Authy, Google Authenticator og FreeOTP. I nær fremtid planlegger de i tillegg til TOTP å legge til muligheten til å bruke maskinvarenøkler og biometriske skannere som støtter WebAuth-protokollen.
1. mars er det planlagt å overføre alle NPM-kontoer som ikke har tofaktorautentisering aktivert for å bruke utvidet kontoverifisering, som krever inntasting av en engangskode sendt på e-post ved forsøk på å logge på npmjs.com eller utføre en autentisert drift i npm-verktøyet. Når tofaktorautentisering er aktivert, brukes ikke utvidet e-postbekreftelse. 16. og 13. februar vil det gjennomføres en midlertidig prøvelansering av utvidet verifisering for alle kontoer i en dag.
La oss huske at ifølge en studie utført i 2020, brukte bare 9.27 % av pakkevedlikeholderne tofaktorautentisering for å beskytte tilgangen, og i 13.37 % av tilfellene, når de registrerte nye kontoer, prøvde utviklere å gjenbruke kompromitterte passord som dukket opp i kjente passordlekkasjer. Under en passordsikkerhetsgjennomgang ble 12 % av NPM-kontoene (13 % av pakkene) åpnet på grunn av bruken av forutsigbare og trivielle passord som «123456». Blant de problematiske var 4 brukerkontoer fra de 20 mest populære pakkene, 13 kontoer med pakker lastet ned mer enn 50 millioner ganger per måned, 40 med mer enn 10 millioner nedlastinger per måned, og 282 med mer enn 1 million nedlastinger per måned. Tatt i betraktning lasting av moduler langs en kjede av avhengigheter, kan kompromittering av uklarerte kontoer påvirke opptil 52 % av alle moduler i NPM.
Kilde: opennet.ru