O GitHub anunciou que os repositórios NPM estão permitindo a autenticação de dois fatores para os 100 pacotes NPM incluídos como dependências no maior número de pacotes. Os mantenedores desses pacotes agora poderão realizar operações de repositório autenticado somente após habilitar a autenticação de dois fatores, que requer confirmação de login usando senhas de uso único (TOTP) geradas por aplicativos como Authy, Google Authenticator e FreeOTP. Num futuro próximo, além do TOTP, eles planejam adicionar a capacidade de usar chaves de hardware e scanners biométricos que suportem o protocolo WebAuth.
Em 1º de março, está prevista a transferência de todas as contas NPM que não possuem autenticação de dois fatores habilitada para usar verificação de conta estendida, que requer a inserção de um código único enviado por e-mail ao tentar fazer login em npmjs.com ou realizar uma autenticação autenticada. operação no utilitário npm. Quando a autenticação de dois fatores está habilitada, a verificação estendida de e-mail não é aplicada. Nos dias 16 e 13 de fevereiro, será realizado um lançamento experimental temporário de verificação estendida para todas as contas por um dia.
Lembremos que segundo estudo realizado em 2020, apenas 9.27% dos mantenedores de pacotes utilizavam autenticação de dois fatores para proteger o acesso, e em 13.37% dos casos, ao registrar novas contas, os desenvolvedores tentavam reutilizar senhas comprometidas que apareciam em conhecidos. vazamento de senha. Durante uma revisão de segurança de senha, 12% das contas NPM (13% dos pacotes) foram acessadas devido ao uso de senhas previsíveis e triviais, como “123456”. Entre as problemáticas estavam 4 contas de usuários dos 20 pacotes mais populares, 13 contas com pacotes baixados mais de 50 milhões de vezes por mês, 40 com mais de 10 milhões de downloads por mês e 282 com mais de 1 milhão de downloads por mês. Tendo em conta o carregamento de módulos ao longo de uma cadeia de dependências, o comprometimento de contas não confiáveis poderia afetar até 52% de todos os módulos no NPM.
Fonte: opennet.ru