โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > GitHub ใช้การตรวจสอบบัญชีที่ได้รับการปรับปรุงตามข้อบังคับใน NPM

GitHub ใช้การตรวจสอบบัญชีที่ได้รับการปรับปรุงตามข้อบังคับใน NPM

เนื่องจากกรณีพื้นที่เก็บข้อมูลของโครงการขนาดใหญ่ถูกแย่งชิงเพิ่มมากขึ้น และมีการส่งเสริมโค้ดที่เป็นอันตรายผ่านการบุกรุกบัญชีนักพัฒนาซอฟต์แวร์ GitHub จึงนำเสนอการตรวจสอบบัญชีแบบขยายอย่างกว้างขวาง นอกจากนี้ จะมีการบังคับใช้การรับรองความถูกต้องด้วยสองปัจจัยสำหรับผู้ดูแลและผู้ดูแลระบบแพ็คเกจ NPM ที่ได้รับความนิยมสูงสุด 500 รายการในต้นปีหน้า

ตั้งแต่วันที่ 7 ธันวาคม 2021 ถึง 4 มกราคม 2022 ผู้ดูแลทุกคนที่มีสิทธิ์เผยแพร่แพ็คเกจ NPM แต่ไม่ได้ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย จะถูกเปลี่ยนไปใช้การตรวจสอบบัญชีแบบขยาย การตรวจสอบขั้นสูงจำเป็นต้องป้อนรหัสแบบครั้งเดียวที่ส่งทางอีเมลเมื่อพยายามเข้าสู่ระบบเว็บไซต์ npmjs.com หรือดำเนินการตรวจสอบสิทธิ์ในยูทิลิตี้ npm

การยืนยันขั้นสูงไม่ได้แทนที่ แต่เพียงเสริมการรับรองความถูกต้องแบบสองปัจจัยที่เป็นตัวเลือกที่มีอยู่ก่อนหน้านี้ ซึ่งต้องมีการยืนยันโดยใช้รหัสผ่านแบบใช้ครั้งเดียว (TOTP) เมื่อเปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย การยืนยันอีเมลแบบขยายจะไม่ใช้ ตั้งแต่วันที่ 1 กุมภาพันธ์ 2022 เป็นต้นไป กระบวนการเปลี่ยนไปใช้การตรวจสอบสิทธิ์แบบสองปัจจัยแบบบังคับจะเริ่มขึ้นสำหรับผู้ดูแลแพ็คเกจ NPM ยอดนิยม 100 แพ็คเกจที่มีจำนวนการขึ้นต่อกันมากที่สุด หลังจากเสร็จสิ้นการโยกย้ายของร้อยแรก การเปลี่ยนแปลงจะถูกกระจายไปยังแพ็คเกจ NPM ที่ได้รับความนิยมสูงสุด 500 รายการตามจำนวนการขึ้นต่อกัน

นอกเหนือจากรูปแบบการตรวจสอบสิทธิ์แบบสองปัจจัยที่มีอยู่ในปัจจุบันโดยอิงตามแอปพลิเคชันสำหรับสร้างรหัสผ่านแบบใช้ครั้งเดียว (Authy, Google Authenticator, FreeOTP ฯลฯ) ในเดือนเมษายน 2022 พวกเขาวางแผนที่จะเพิ่มความสามารถในการใช้คีย์ฮาร์ดแวร์และเครื่องสแกนไบโอเมตริกซ์สำหรับ ซึ่งรองรับโปรโตคอล WebAuthn และยังมีความสามารถในการลงทะเบียนและจัดการปัจจัยการรับรองความถูกต้องเพิ่มเติมต่างๆ

โปรดจำไว้ว่าจากการศึกษาที่ดำเนินการในปี 2020 ผู้ดูแลแพ็คเกจเพียง 9.27% ​​ใช้การตรวจสอบสิทธิ์แบบสองปัจจัยเพื่อปกป้องการเข้าถึง และใน 13.37% ของกรณี เมื่อลงทะเบียนบัญชีใหม่ นักพัฒนาพยายามใช้รหัสผ่านที่ถูกบุกรุกซ้ำซึ่งปรากฏอยู่ใน การรั่วไหลของรหัสผ่านที่ทราบ ในระหว่างการตรวจสอบความปลอดภัยของรหัสผ่าน 12% ของบัญชี NPM (13% ของแพ็คเกจ) ถูกเข้าถึงเนื่องจากการใช้รหัสผ่านที่คาดเดาได้และไม่สำคัญ เช่น “123456” ในบรรดาบัญชีที่มีปัญหา ได้แก่ บัญชีผู้ใช้ 4 บัญชีจากแพ็คเกจยอดนิยม 20 อันดับแรก 13 บัญชีที่มีแพ็คเกจดาวน์โหลดมากกว่า 50 ล้านครั้งต่อเดือน 40 บัญชีที่มีการดาวน์โหลดมากกว่า 10 ล้านครั้งต่อเดือน และ 282 บัญชีที่มีการดาวน์โหลดมากกว่า 1 ล้านครั้งต่อเดือน เมื่อคำนึงถึงการโหลดโมดูลตามห่วงโซ่การพึ่งพา การประนีประนอมของบัญชีที่ไม่น่าเชื่อถืออาจส่งผลกระทบมากถึง 52% ของโมดูลทั้งหมดใน NPM

ที่มา: opennet.ru

เพิ่มความคิดเห็น