ГитХуб је најавио да НПМ спремишта омогућавају двофакторску аутентификацију за 100 НПМ пакета који су укључени као зависности у највећем броју пакета. Одржавачи ових пакета ће сада моћи да обављају операције са аутентификацијом спремишта само након што омогуће двофакторску аутентификацију, која захтева потврду пријаве помоћу једнократних лозинки (ТОТП) које генеришу апликације као што су Аутхи, Гоогле Аутхентицатор и ФрееОТП. У блиској будућности, поред ТОТП-а, планирају да додају и могућност коришћења хардверских кључева и биометријских скенера који подржавају ВебАутх протокол.
За 1. март је планирано да се сви НПМ налози који немају омогућену двофакторску аутентификацију пребаце на проширену верификацију налога, која захтева уношење једнократног кода послатог путем е-поште приликом покушаја пријаве на нпмјс.цом или извршења аутентификације. рад у нпм услужном програму. Када је омогућена двофакторска аутентификација, проширена верификација е-поште се не примењује. 16. и 13. фебруара биће спроведено једнодневно пробно привремено покретање проширене верификације за све рачуне.
Подсетимо се да је према студији спроведеној 2020. године, само 9.27% одржавалаца пакета користило двофакторску аутентификацију да би заштитило приступ, а у 13.37% случајева, приликом регистрације нових налога, програмери су покушали да поново користе компромитоване лозинке које су се појавиле у познатим лозинка цури. Током безбедносне провере лозинке, приступљено је 12% НПМ налога (13% пакета) због употребе предвидљивих и тривијалних лозинки као што је „123456“. Међу проблематичнима била су 4 корисничка налога из Топ 20 најпопуларнијих пакета, 13 налога са пакетима који се преузимају више од 50 милиона пута месечно, 40 са више од 10 милиона преузимања месечно и 282 са више од милион преузимања месечно. Узимајући у обзир учитавање модула дуж ланца зависности, компромитовање непоузданих налога може утицати на до 1% свих модула у НПМ-у.
Извор: опеннет.ру