GitHub oznámil, že repozitáre NPM umožňujú dvojfaktorovú autentifikáciu pre 100 balíčkov NPM, ktoré sú zahrnuté ako závislosti v najväčšom počte balíčkov. Správcovia týchto balíkov budú môcť odteraz vykonávať operácie s overeným úložiskom až po povolení dvojfaktorovej autentifikácie, ktorá vyžaduje potvrdenie prihlásenia pomocou jednorazových hesiel (TOTP) generovaných aplikáciami ako Authy, Google Authenticator a FreeOTP. V blízkej budúcnosti plánujú okrem TOTP pridať aj možnosť využívať hardvérové kľúče a biometrické skenery, ktoré podporujú protokol WebAuth.
Dňa 1. marca sa plánuje previesť všetky účty NPM, ktoré nemajú aktivovanú dvojfaktorovú autentifikáciu, na používanie rozšíreného overenia účtu, ktoré vyžaduje zadanie jednorazového kódu zaslaného e-mailom pri pokuse o prihlásenie na npmjs.com alebo vykonanie overeného operácie v utilite npm. Keď je aktivovaná dvojfaktorová autentifikácia, rozšírené overenie e-mailu sa nepoužije. 16. a 13. februára sa na jeden deň uskutoční skúšobné dočasné spustenie rozšíreného overovania pre všetky účty.
Pripomeňme si, že podľa štúdie vykonanej v roku 2020 iba 9.27 % správcov balíkov používalo na ochranu prístupu dvojfaktorovú autentifikáciu a v 13.37 % prípadov sa pri registrácii nových účtov vývojári pokúsili znova použiť kompromitované heslá, ktoré sa objavili v známych úniky hesiel. Počas kontroly zabezpečenia hesiel bolo sprístupnených 12 % účtov NPM (13 % balíkov) vďaka použitiu predvídateľných a triviálnych hesiel, ako napríklad „123456“. Medzi problémové patrili 4 používateľské účty z Top20 najobľúbenejších balíčkov, 13 účtov s balíčkami stiahnutými viac ako 50 miliónov krát za mesiac, 40 s viac ako 10 miliónmi stiahnutí za mesiac a 282 s viac ako 1 miliónom stiahnutí za mesiac. Ak vezmeme do úvahy načítanie modulov pozdĺž reťazca závislostí, kompromitácia nedôveryhodných účtov by mohla ovplyvniť až 52 % všetkých modulov v NPM.
Zdroj: opennet.ru