Због све већег броја случајева отимања складишта великих пројеката и промовисања злонамерног кода кроз компромитовање налога програмера, ГитХуб уводи широко распрострањену проширену верификацију налога. Одвојено, обавезна двофакторска аутентификација биће уведена за одржаваоце и администраторе 500 најпопуларнијих НПМ пакета почетком следеће године.
Од 7. децембра 2021. до 4. јануара 2022. сви одржаваоци који имају право да објављују НПМ пакете, али не користе двофакторску аутентификацију, биће пребачени на коришћење проширене верификације налога. Напредна верификација захтева уношење једнократног кода послатог е-поштом када покушавате да се пријавите на веб локацију нпмјс.цом или извршите операцију са аутентификацијом у нпм услужном програму.
Побољшана верификација не замењује, већ само допуњује, раније доступну опциону двофакторску аутентификацију, која захтева потврду коришћењем једнократних лозинки (ТОТП). Када је омогућена двофакторска аутентификација, проширена верификација е-поште се не примењује. Од 1. фебруара 2022. године почиње процес преласка на обавезну двофакторску аутентификацију за одржаваоце 100 најпопуларнијих НПМ пакета са највећим бројем зависности. Након завршетка миграције прве стотине, промена ће бити дистрибуирана на 500 најпопуларнијих НПМ пакета по броју зависности.
Поред тренутно доступне двофакторске шеме аутентификације засноване на апликацијама за генерисање једнократних лозинки (Аутхи, Гоогле Аутхентицатор, ФрееОТП, итд.), у априлу 2022. планирају да додају могућност коришћења хардверских кључева и биометријских скенера, за који постоји подршка за ВебАутхн протокол, а такође и могућност регистрације и управљања разним додатним факторима аутентификације.
Подсетимо се да, према студији спроведеној 2020. године, само 9.27% одржавалаца пакета користи двофакторску аутентификацију да би заштитили приступ, а у 13.37% случајева, приликом регистрације нових налога, програмери су покушали да поново користе компромитоване лозинке које су се појавиле у позната лозинка цури. Током безбедносне провере лозинке, приступљено је 12% НПМ налога (13% пакета) због употребе предвидљивих и тривијалних лозинки као што је „123456“. Међу проблематичнима била су 4 корисничка налога из Топ 20 најпопуларнијих пакета, 13 налога са пакетима који се преузимају више од 50 милиона пута месечно, 40 са више од 10 милиона преузимања месечно и 282 са више од милион преузимања месечно. Узимајући у обзир учитавање модула дуж ланца зависности, компромитовање непоузданих налога може утицати на до 1% свих модула у НПМ-у.
Извор: опеннет.ру