Zaradi naraščajočih primerov ugrabitve repozitorijev velikih projektov in zlonamerne kode, ki se promovira prek ogrožanja računov razvijalcev, GitHub uvaja razširjeno razširjeno preverjanje računa. Ločeno bo v začetku prihodnjega leta uvedena obvezna dvofaktorska avtentikacija za vzdrževalce in skrbnike 500 najbolj priljubljenih paketov NPM.
Od 7. decembra 2021 do 4. januarja 2022 bodo vsi vzdrževalci, ki imajo pravico do objave paketov NPM, vendar ne uporabljajo dvofaktorske avtentikacije, prešli na uporabo razširjenega preverjanja računa. Napredno preverjanje zahteva vnos enkratne kode, poslane po e-pošti, ko se poskušate prijaviti na spletno mesto npmjs.com ali izvesti operacijo overjene pristnosti v pripomočku npm.
Izboljšano preverjanje ne nadomešča, ampak le dopolnjuje prej razpoložljivo izbirno dvofaktorsko avtentikacijo, ki zahteva potrditev z uporabo enkratnih gesel (TOTP). Ko je omogočeno dvostopenjsko preverjanje pristnosti, razširjeno preverjanje e-pošte ni uporabljeno. S 1. februarjem 2022 se bo začel postopek prehoda na obvezno dvofaktorsko avtentikacijo za vzdrževalce 100 najbolj priljubljenih paketov NPM z največjim številom odvisnosti. Po zaključku selitve prvih stotih bo sprememba razdeljena na 500 najbolj priljubljenih paketov NPM glede na število odvisnosti.
Poleg trenutno razpoložljive sheme dvofaktorske avtentikacije, ki temelji na aplikacijah za generiranje enkratnih gesel (Authy, Google Authenticator, FreeOTP itd.), nameravajo aprila 2022 dodati možnost uporabe strojnih ključev in biometričnih skenerjev, za ki obstaja podpora za protokol WebAuthn, pa tudi možnost registracije in upravljanja različnih dodatnih dejavnikov preverjanja pristnosti.
Spomnimo se, da glede na študijo, izvedeno leta 2020, le 9.27 % vzdrževalcev paketov uporablja dvofaktorsko avtentikacijo za zaščito dostopa, v 13.37 % primerov pa so razvijalci pri registraciji novih računov poskušali ponovno uporabiti ogrožena gesla, ki so se pojavila v znano uhajanje gesel. Med pregledom varnosti gesel je bilo dostopa do 12 % računov NPM (13 % paketov) zaradi uporabe predvidljivih in trivialnih gesel, kot je »123456«. Med problematičnimi so bili 4 uporabniški računi iz Top 20 najbolj priljubljenih paketov, 13 računov s paketi, ki so bili preneseni več kot 50 milijonov krat na mesec, 40 z več kot 10 milijoni prenosov na mesec in 282 z več kot 1 milijonom prenosov na mesec. Ob upoštevanju nalaganja modulov vzdolž verige odvisnosti bi lahko ogrožanje nezaupnih računov vplivalo na do 52 % vseh modulov v NPM.
Vir: opennet.ru