Vzhľadom na narastajúce prípady únosov úložísk veľkých projektov a propagácie škodlivého kódu prostredníctvom kompromitácie vývojárskych účtov, GitHub zavádza rozšírené rozšírené overovanie účtov. Samostatne bude začiatkom budúceho roka zavedená povinná dvojfaktorová autentifikácia pre správcov a správcov 500 najpopulárnejších balíkov NPM.
Od 7. decembra 2021 do 4. januára 2022 budú všetci správcovia, ktorí majú právo zverejňovať balíčky NPM, ale nepoužívajú dvojfaktorovú autentifikáciu, prepnutí na používanie rozšíreného overovania účtu. Rozšírené overenie vyžaduje zadanie jednorazového kódu odoslaného e-mailom pri pokuse o prihlásenie na webovú stránku npmjs.com alebo vykonaní overenej operácie v utilite npm.
Rozšírené overovanie nenahrádza, ale iba dopĺňa predtým dostupnú voliteľnú dvojfaktorovú autentifikáciu, ktorá vyžaduje potvrdenie pomocou jednorazových hesiel (TOTP). Keď je aktivovaná dvojfaktorová autentifikácia, rozšírené overenie e-mailu sa nepoužije. Od 1. februára 2022 sa začne proces prechodu na povinnú dvojfaktorovú autentifikáciu pre správcov 100 najobľúbenejších balíkov NPM s najväčším počtom závislostí. Po dokončení migrácie prvej stovky sa zmena rozdelí medzi 500 najobľúbenejších balíčkov NPM podľa počtu závislostí.
Okrem aktuálne dostupnej dvojfaktorovej autentifikačnej schémy založenej na aplikáciách na generovanie jednorazových hesiel (Authy, Google Authenticator, FreeOTP atď.) plánujú v apríli 2022 pridať možnosť využívať hardvérové kľúče a biometrické skenery, napr. ktorý má podporu pre protokol WebAuthn a tiež možnosť registrovať a spravovať rôzne dodatočné autentifikačné faktory.
Pripomeňme si, že podľa štúdie vykonanej v roku 2020 iba 9.27 % správcov balíkov používa dvojfaktorovú autentifikáciu na ochranu prístupu a v 13.37 % prípadov sa vývojári pri registrácii nových účtov pokúsili znova použiť kompromitované heslá, ktoré sa objavili v úniky známych hesiel. Počas kontroly zabezpečenia hesiel bolo sprístupnených 12 % účtov NPM (13 % balíkov) vďaka použitiu predvídateľných a triviálnych hesiel, ako napríklad „123456“. Medzi problémové patrili 4 používateľské účty z Top 20 najobľúbenejších balíčkov, 13 účtov s balíčkami stiahnutými viac ako 50 miliónov za mesiac, 40 s viac ako 10 miliónmi stiahnutí za mesiac a 282 s viac ako 1 miliónom stiahnutí za mesiac. Ak vezmeme do úvahy načítanie modulov pozdĺž reťazca závislostí, kompromitácia nedôveryhodných účtov by mohla ovplyvniť až 52 % všetkých modulov v NPM.
Zdroj: opennet.ru