Ze względu na coraz częstsze przypadki przechwytywania repozytoriów dużych projektów i promowania złośliwego kodu poprzez włamywanie się na konta programistów, GitHub wprowadza powszechną rozszerzoną weryfikację kont. Oddzielnie na początku przyszłego roku wprowadzone zostanie obowiązkowe uwierzytelnianie dwuskładnikowe dla opiekunów i administratorów 500 najpopularniejszych pakietów NPM.
Od 7 grudnia 2021 r. do 4 stycznia 2022 r. wszyscy opiekunowie, którzy mają prawo publikować pakiety NPM, ale nie korzystają z uwierzytelniania dwuskładnikowego, zostaną przełączeni na korzystanie z rozszerzonej weryfikacji konta. Zaawansowana weryfikacja polega na wpisaniu jednorazowego kodu przesłanego e-mailem podczas próby zalogowania się do serwisu npmjs.com lub wykonania uwierzytelnionej operacji w narzędziu npm.
Wzmocniona weryfikacja nie zastępuje, a jedynie uzupełnia dostępne wcześniej opcjonalne uwierzytelnianie dwuskładnikowe, które wymaga potwierdzenia za pomocą haseł jednorazowych (TOTP). Gdy włączone jest uwierzytelnianie dwuskładnikowe, rozszerzona weryfikacja e-mailem nie jest stosowana. Od 1 lutego 2022 r. rozpocznie się proces przechodzenia na obowiązkowe uwierzytelnianie dwuskładnikowe dla opiekunów 100 najpopularniejszych pakietów NPM z największą liczbą zależności. Po zakończeniu migracji pierwszej setki zmiana zostanie rozdysponowana na 500 najpopularniejszych pakietów NPM według liczby zależności.
Oprócz dostępnego obecnie schematu uwierzytelniania dwuskładnikowego opartego na aplikacjach do generowania haseł jednorazowych (Authy, Google Authenticator, FreeOTP itp.), w kwietniu 2022 planują dodać możliwość wykorzystania kluczy sprzętowych i skanerów biometrycznych, m.in. w którym istnieje obsługa protokołu WebAuthn, a także możliwość rejestracji i zarządzania różnymi dodatkowymi czynnikami uwierzytelniającymi.
Pamiętajmy, że według badania przeprowadzonego w 2020 roku jedynie 9.27% opiekunów pakietów stosuje uwierzytelnianie dwuskładnikowe w celu ochrony dostępu, a w 13.37% przypadków podczas rejestracji nowych kont programiści próbowali ponownie wykorzystać zhakowane hasła, które pojawiły się w znane wycieki haseł. Podczas przeglądu bezpieczeństwa haseł uzyskano dostęp do 12% kont NPM (13% pakietów) w wyniku użycia przewidywalnych i trywialnych haseł, takich jak „123456”. Wśród problematycznych znalazły się 4 konta użytkowników z 20 najpopularniejszych pakietów, 13 kont z pakietami pobranymi ponad 50 milionów razy w miesiącu, 40 z ponad 10 milionami pobrań miesięcznie i 282 z ponad 1 milionem pobrań miesięcznie. Biorąc pod uwagę ładowanie modułów wzdłuż łańcucha zależności, naruszenie niezaufanych kont może dotyczyć aż do 52% wszystkich modułów w NPM.
Źródło: opennet.ru