GitHub ogłosił, że repozytoria NPM umożliwiają uwierzytelnianie dwuskładnikowe dla 100 pakietów NPM, które są zawarte jako zależności w największej liczbie pakietów. Opiekunowie tych pakietów będą teraz mogli wykonywać uwierzytelnione operacje na repozytorium dopiero po włączeniu uwierzytelniania dwuskładnikowego, które wymaga potwierdzenia logowania przy użyciu haseł jednorazowych (TOTP) generowanych przez aplikacje takie jak Authy, Google Authenticator i FreeOTP. W najbliższej przyszłości oprócz TOTP planują dodać możliwość wykorzystania kluczy sprzętowych i skanerów biometrycznych obsługujących protokół WebAuth.
Z dniem 1 marca planowane jest przeniesienie wszystkich kont NPM, które nie posiadają włączonego uwierzytelniania dwuskładnikowego, na możliwość korzystania z rozszerzonej weryfikacji kont, która polega na wpisaniu jednorazowego kodu przesyłanego e-mailem podczas próby zalogowania się do npmjs.com lub wykonania uwierzytelnienia operację w narzędziu npm. Gdy włączone jest uwierzytelnianie dwuskładnikowe, rozszerzona weryfikacja e-mailem nie jest stosowana. W dniach 16 i 13 lutego na jeden dzień zostanie przeprowadzone próbne tymczasowe uruchomienie rozszerzonej weryfikacji dla wszystkich kont.
Przypomnijmy, że według badania przeprowadzonego w 2020 roku jedynie 9.27% opiekunów pakietów stosowało uwierzytelnianie dwuskładnikowe w celu ochrony dostępu, a w 13.37% przypadków podczas rejestracji nowych kont programiści próbowali ponownie wykorzystać zhakowane hasła, które pojawiły się w znanych wycieki haseł. Podczas przeglądu bezpieczeństwa haseł uzyskano dostęp do 12% kont NPM (13% pakietów) w wyniku użycia przewidywalnych i trywialnych haseł, takich jak „123456”. Wśród problematycznych znalazły się 4 konta użytkowników z 20 najpopularniejszych pakietów, 13 kont z pakietami pobranymi ponad 50 milionów razy w miesiącu, 40 z ponad 10 milionami pobrań miesięcznie i 282 z ponad 1 milionem pobrań miesięcznie. Biorąc pod uwagę ładowanie modułów wzdłuż łańcucha zależności, naruszenie niezaufanych kont może dotyczyć aż do 52% wszystkich modułów w NPM.
Źródło: opennet.ru