På grund av de ökande fallen av förråd av stora projekt som kapas och skadlig kod främjas genom kompromiss mellan utvecklarkonton, introducerar GitHub en omfattande utökad kontoverifiering. Separat kommer obligatorisk tvåfaktorsautentisering att införas för underhållare och administratörer av de 500 mest populära NPM-paketen i början av nästa år.
Från 7 december 2021 till 4 januari 2022 kommer alla underhållare som har rätt att publicera NPM-paket, men inte använder tvåfaktorsautentisering, att bytas till att använda utökad kontoverifiering. Avancerad verifiering kräver att du anger en engångskod som skickas via e-post när du försöker logga in på webbplatsen npmjs.com eller utföra en autentiserad operation i npm-verktyget.
Förbättrad verifiering ersätter inte, utan kompletterar endast, den tidigare tillgängliga valfria tvåfaktorsautentiseringen, som kräver bekräftelse med engångslösenord (TOTP). När tvåfaktorsautentisering är aktiverad tillämpas inte utökad e-postverifiering. Från och med den 1 februari 2022 börjar processen att byta till obligatorisk tvåfaktorsautentisering för underhållarna av de 100 mest populära NPM-paketen med det största antalet beroenden. Efter att ha slutfört migreringen av de första hundra, kommer ändringen att distribueras till de 500 mest populära NPM-paketen efter antal beroenden.
Utöver det för närvarande tillgängliga tvåfaktorsautentiseringsschemat baserat på applikationer för att generera engångslösenord (Authy, Google Authenticator, FreeOTP, etc.), planerar de i april 2022 att lägga till möjligheten att använda hårdvarunycklar och biometriska skannrar, för som det finns stöd för WebAuthn-protokollet, och även möjlighet att registrera och hantera olika ytterligare autentiseringsfaktorer.
Låt oss komma ihåg att, enligt en studie genomförd 2020, använder endast 9.27 % av paketunderhållarna tvåfaktorsautentisering för att skydda åtkomst, och i 13.37 % av fallen, när de registrerade nya konton, försökte utvecklare att återanvända komprometterade lösenord som dök upp i kända lösenordsläckor. Under en lösenordssäkerhetsgranskning fick 12 % av NPM-konton (13 % av paketen) åtkomst på grund av användningen av förutsägbara och triviala lösenord som "123456." Bland de problematiska var 4 användarkonton från de 20 mest populära paketen, 13 konton med paket nedladdade mer än 50 miljoner gånger per månad, 40 med mer än 10 miljoner nedladdningar per månad och 282 med mer än 1 miljon nedladdningar per månad. Med hänsyn till laddningen av moduler längs en kedja av beroenden, kan kompromisser mellan otillförlitliga konton påverka upp till 52 % av alla moduler i NPM.
Källa: opennet.ru