GitHub meddelade att NPM-förråd möjliggör tvåfaktorsautentisering för de 100 NPM-paketen som ingår som beroenden i det största antalet paket. Underhållare av dessa paket kommer nu att kunna utföra autentiserade lagringsoperationer endast efter att ha aktiverat tvåfaktorsautentisering, vilket kräver inloggningsbekräftelse med engångslösenord (TOTP) som genereras av applikationer som Authy, Google Authenticator och FreeOTP. Inom en snar framtid planerar de, förutom TOTP, att lägga till möjligheten att använda hårdvaranycklar och biometriska skannrar som stöder WebAuth-protokollet.
Den 1 mars är det planerat att överföra alla NPM-konton som inte har tvåfaktorsautentisering aktiverad för att använda utökad kontoverifiering, vilket kräver att en engångskod skickas via e-post när man försöker logga in på npmjs.com eller utföra en autentiserad drift i npm-verktyget. När tvåfaktorsautentisering är aktiverad tillämpas inte utökad e-postverifiering. Den 16 och 13 februari kommer en tillfällig provlansering av utökad verifiering för alla konton att genomföras under en dag.
Låt oss komma ihåg att enligt en studie genomförd 2020 använde endast 9.27 % av paketunderhållarna tvåfaktorsautentisering för att skydda åtkomst, och i 13.37 % av fallen, när de registrerade nya konton, försökte utvecklare att återanvända komprometterade lösenord som dök upp i kända lösenordsläckor. Under en lösenordssäkerhetsgranskning fick 12 % av NPM-konton (13 % av paketen) åtkomst på grund av användningen av förutsägbara och triviala lösenord som "123456." Bland de problematiska var 4 användarkonton från de 20 mest populära paketen, 13 konton med paket nedladdade mer än 50 miljoner gånger per månad, 40 med mer än 10 miljoner nedladdningar per månad och 282 med mer än 1 miljon nedladdningar per månad. Med hänsyn till laddningen av moduler längs en kedja av beroenden, kan kompromisser mellan otillförlitliga konton påverka upp till 52 % av alla moduler i NPM.
Källa: opennet.ru