Datorită numărului tot mai mare de cazuri de deturnare a depozitelor de proiecte mari și de promovare a codului rău intenționat prin compromiterea conturilor de dezvoltator, GitHub introduce verificarea extinsă a contului pe scară largă. Separat, autentificarea obligatorie cu doi factori va fi introdusă pentru întreținerii și administratorii celor mai populare 500 de pachete NPM la începutul anului viitor.
În perioada 7 decembrie 2021 - 4 ianuarie 2022, toți întreținerii care au dreptul de a publica pachete NPM, dar nu folosesc autentificarea cu doi factori, vor fi trecuți la utilizarea verificării extinse a contului. Verificarea avansată necesită introducerea unui cod unic trimis prin e-mail atunci când încercați să vă conectați pe site-ul web npmjs.com sau să efectuați o operațiune autentificată în utilitarul npm.
Verificarea îmbunătățită nu înlocuiește, ci doar completează, autentificarea opțională cu doi factori disponibilă anterior, care necesită confirmare folosind parole unice (TOTP). Când autentificarea cu doi factori este activată, nu se aplică verificarea extinsă a e-mailului. Începând cu 1 februarie 2022, procesul de trecere la autentificarea obligatorie cu doi factori va începe pentru întreținerii celor mai populare 100 de pachete NPM cu cel mai mare număr de dependențe. După finalizarea migrării primei sute, modificarea va fi distribuită celor 500 de pachete NPM cele mai populare după numărul de dependențe.
Pe lângă schema de autentificare în doi factori disponibilă în prezent, bazată pe aplicații pentru generarea de parole unice (Authy, Google Authenticator, FreeOTP etc.), în aprilie 2022 intenționează să adauge posibilitatea de a utiliza chei hardware și scanere biometrice, pentru care există suport pentru protocolul WebAuthn și, de asemenea, capacitatea de a înregistra și gestiona diverși factori suplimentari de autentificare.
Să ne amintim că, conform unui studiu realizat în 2020, doar 9.27% dintre întreținătorii de pachete folosesc autentificarea cu doi factori pentru a proteja accesul, iar în 13.37% din cazuri, la înregistrarea unor conturi noi, dezvoltatorii au încercat să refolosească parolele compromise apărute în scurgeri de parole cunoscute. În timpul unei analize de securitate a parolei, 12% dintre conturile NPM (13% din pachete) au fost accesate datorită utilizării unor parole previzibile și banale, cum ar fi „123456”. Printre cele problematice s-au numărat 4 conturi de utilizator din Top 20 cele mai populare pachete, 13 conturi cu pachete descărcate de peste 50 de milioane de ori pe lună, 40 cu peste 10 milioane de descărcări pe lună și 282 cu mai mult de 1 milion de descărcări pe lună. Ținând cont de încărcarea modulelor de-a lungul unui lanț de dependențe, compromisul conturilor nede încredere ar putea afecta până la 52% din toate modulele din NPM.
Sursa: opennet.ru