Devido aos casos crescentes de seqüestro de repositórios de grandes projetos e promoção de códigos maliciosos através do comprometimento de contas de desenvolvedores, o GitHub está introduzindo verificação de conta ampliada e generalizada. Separadamente, a autenticação obrigatória de dois fatores será introduzida para mantenedores e administradores dos 500 pacotes NPM mais populares no início do próximo ano.
De 7 de dezembro de 2021 a 4 de janeiro de 2022, todos os mantenedores que têm o direito de publicar pacotes NPM, mas não usam autenticação de dois fatores, passarão a usar verificação de conta estendida. A verificação avançada requer a inserção de um código único enviado por e-mail ao tentar fazer login no site npmjs.com ou realizar uma operação autenticada no utilitário npm.
A verificação aprimorada não substitui, mas apenas complementa, a autenticação opcional de dois fatores anteriormente disponível, que requer confirmação por meio de senhas de uso único (TOTP). Quando a autenticação de dois fatores está habilitada, a verificação estendida de e-mail não é aplicada. A partir de 1º de fevereiro de 2022, o processo de mudança para a autenticação obrigatória de dois fatores terá início para os mantenedores dos 100 pacotes NPM mais populares com o maior número de dependências. Após concluir a migração dos primeiros cem, a alteração será distribuída aos 500 pacotes NPM mais populares por número de dependências.
Além do esquema de autenticação de dois fatores atualmente disponível baseado em aplicativos para geração de senhas de uso único (Authy, Google Authenticator, FreeOTP, etc.), em abril de 2022 eles planejam adicionar a capacidade de usar chaves de hardware e scanners biométricos, para onde há suporte para o protocolo WebAuthn e também a capacidade de registrar e gerenciar vários fatores de autenticação adicionais.
Lembremos que, segundo estudo realizado em 2020, apenas 9.27% dos mantenedores de pacotes utilizam autenticação de dois fatores para proteger o acesso, e em 13.37% dos casos, ao registrar novas contas, os desenvolvedores tentaram reutilizar senhas comprometidas que apareceram em vazamentos de senha conhecidos. Durante uma revisão de segurança de senha, 12% das contas NPM (13% dos pacotes) foram acessadas devido ao uso de senhas previsíveis e triviais, como “123456”. Entre as problemáticas estavam 4 contas de usuários dos 20 pacotes mais populares, 13 contas com pacotes baixados mais de 50 milhões de vezes por mês, 40 com mais de 10 milhões de downloads por mês e 282 com mais de 1 milhão de downloads por mês. Tendo em conta o carregamento de módulos ao longo de uma cadeia de dependências, o comprometimento de contas não confiáveis poderia afetar até 52% de todos os módulos no NPM.
Fonte: opennet.ru
