Për shkak të rasteve në rritje të rrëmbimit të depove të projekteve të mëdha dhe promovimit të kodeve me qëllim të keq përmes kompromentimit të llogarive të zhvilluesve, GitHub po prezanton verifikimin e gjerë të zgjeruar të llogarisë. Më vete, vërtetimi i detyrueshëm me dy faktorë do të prezantohet për mirëmbajtësit dhe administratorët e 500 paketave më të njohura NPM në fillim të vitit të ardhshëm.
Nga data 7 dhjetor 2021 deri më 4 janar 2022, të gjithë mirëmbajtësit që kanë të drejtë të publikojnë paketat NPM, por nuk përdorin vërtetimin me dy faktorë, do të kalojnë në përdorimin e verifikimit të zgjeruar të llogarisë. Verifikimi i avancuar kërkon futjen e një kodi një herë të dërguar me email kur përpiqeni të identifikoheni në faqen e internetit npmjs.com ose të kryeni një operacion të vërtetuar në programin npm.
Verifikimi i përmirësuar nuk zëvendëson, por vetëm plotëson, vërtetimin opsional me dy faktorë të disponueshëm më parë, i cili kërkon konfirmim duke përdorur fjalëkalime një herë (TOTP). Kur aktivizohet vërtetimi me dy faktorë, verifikimi i zgjatur i emailit nuk zbatohet. Duke filluar nga 1 shkurti 2022, procesi i kalimit në vërtetimin e detyrueshëm me dy faktorë do të fillojë për mirëmbajtësit e 100 paketave më të njohura NPM me numrin më të madh të varësive. Pas përfundimit të migrimit të njëqindës së parë, ndryshimi do të shpërndahet në 500 paketat më të njohura NPM sipas numrit të varësive.
Përveç skemës aktualisht të disponueshme të vërtetimit me dy faktorë bazuar në aplikacionet për gjenerimin e fjalëkalimeve një herë (Authy, Google Authenticator, FreeOTP, etj.), në prill 2022 ata planifikojnë të shtojnë aftësinë për të përdorur çelësat harduerikë dhe skanerët biometrikë, për e cila ka mbështetje për protokollin WebAuthn, dhe gjithashtu aftësinë për të regjistruar dhe menaxhuar faktorë të ndryshëm shtesë të vërtetimit.
Le të kujtojmë se, sipas një studimi të kryer në vitin 2020, vetëm 9.27% e mirëmbajtësve të paketave përdorin vërtetimin me dy faktorë për të mbrojtur aksesin, dhe në 13.37% të rasteve, gjatë regjistrimit të llogarive të reja, zhvilluesit u përpoqën të ripërdornin fjalëkalime të komprometuara që shfaqeshin në rrjedhje të njohura të fjalëkalimeve. Gjatë një rishikimi të sigurisë së fjalëkalimit, 12% e llogarive NPM (13% e paketave) u aksesuan për shkak të përdorimit të fjalëkalimeve të parashikueshme dhe të parëndësishme si "123456". Ndër ato problematike ishin 4 llogari përdoruesish nga Top 20 paketat më të njohura, 13 llogari me paketa të shkarkuara më shumë se 50 milionë herë në muaj, 40 me më shumë se 10 milionë shkarkime në muaj dhe 282 me më shumë se 1 milionë shkarkime në muaj. Duke marrë parasysh ngarkimin e moduleve përgjatë një zinxhiri varësish, kompromisi i llogarive të pabesuara mund të ndikojë deri në 52% të të gjitha moduleve në NPM.
Burimi: opennet.ru