GitHub ประกาศว่าที่เก็บ NPM กำลังเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับแพ็คเกจ 100 NPM ที่รวมอยู่ในการขึ้นต่อกันในแพ็คเกจจำนวนมากที่สุด ผู้ดูแลแพ็คเกจเหล่านี้จะสามารถดำเนินการพื้นที่เก็บข้อมูลรับรองความถูกต้องได้หลังจากเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยเท่านั้น ซึ่งต้องมีการยืนยันการเข้าสู่ระบบโดยใช้รหัสผ่านแบบใช้ครั้งเดียว (TOTP) ที่สร้างโดยแอปพลิเคชันเช่น Authy, Google Authenticator และ FreeOTP ในอนาคตอันใกล้นี้ นอกเหนือจาก TOTP แล้ว พวกเขาวางแผนที่จะเพิ่มความสามารถในการใช้คีย์ฮาร์ดแวร์และเครื่องสแกนไบโอเมตริกซ์ที่รองรับโปรโตคอล WebAuth
ในวันที่ 1 มีนาคม มีการวางแผนที่จะโอนบัญชี NPM ทั้งหมดที่ไม่มีการเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย เพื่อใช้การตรวจสอบบัญชีแบบขยาย ซึ่งจำเป็นต้องป้อนรหัสแบบครั้งเดียวที่ส่งทางอีเมลเมื่อพยายามเข้าสู่ระบบ npmjs.com หรือดำเนินการตรวจสอบสิทธิ์ การดำเนินการในยูทิลิตี้ npm เมื่อเปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย การยืนยันอีเมลแบบขยายจะไม่ใช้ ในวันที่ 16 และ 13 กุมภาพันธ์ จะมีการดำเนินการทดลองใช้งานการยืนยันแบบขยายเวลาชั่วคราวสำหรับทุกบัญชีเป็นเวลาหนึ่งวัน
โปรดจำไว้ว่าจากการศึกษาที่ดำเนินการในปี 2020 มีเพียง 9.27% ของผู้ดูแลแพ็คเกจที่ใช้การตรวจสอบสิทธิ์แบบสองปัจจัยเพื่อปกป้องการเข้าถึง และใน 13.37% ของกรณี เมื่อลงทะเบียนบัญชีใหม่ นักพัฒนาพยายามที่จะนำรหัสผ่านที่ถูกบุกรุกมาใช้ซ้ำซึ่งปรากฏอยู่ในที่ทราบ รหัสผ่านรั่วไหล ในระหว่างการตรวจสอบความปลอดภัยของรหัสผ่าน มีการเข้าถึงบัญชี NPM 12% (13% ของแพ็คเกจ) เนื่องจากการใช้รหัสผ่านที่คาดเดาได้และไม่สำคัญ เช่น “123456” ในบรรดาบัญชีที่มีปัญหา ได้แก่ บัญชีผู้ใช้ 4 บัญชีจากแพ็คเกจยอดนิยม 20 อันดับแรก 13 บัญชีที่มีแพ็คเกจดาวน์โหลดมากกว่า 50 ล้านครั้งต่อเดือน 40 บัญชีที่มีการดาวน์โหลดมากกว่า 10 ล้านครั้งต่อเดือน และ 282 บัญชีที่มีการดาวน์โหลดมากกว่า 1 ล้านครั้งต่อเดือน เมื่อคำนึงถึงการโหลดโมดูลตามห่วงโซ่การพึ่งพา การประนีประนอมของบัญชีที่ไม่น่าเชื่อถืออาจส่งผลกระทบมากถึง 52% ของโมดูลทั้งหมดใน NPM
ที่มา: opennet.ru