Inanunsyo ng GitHub na pinapagana ng mga repositoryo ng NPM ang two-factor authentication para sa 100 NPM packages na kasama bilang mga dependency sa pinakamalaking bilang ng mga package. Magagawa na ngayon ng mga maintainer ng mga package na ito ang mga authenticated na pagpapatakbo ng repository pagkatapos i-enable ang two-factor authentication, na nangangailangan ng kumpirmasyon sa pag-log in gamit ang mga one-time na password (TOTP) na nabuo ng mga application gaya ng Authy, Google Authenticator at FreeOTP. Sa malapit na hinaharap, bilang karagdagan sa TOTP, plano nilang magdagdag ng kakayahang gumamit ng mga hardware key at biometric scanner na sumusuporta sa WebAuth protocol.
Sa Marso 1, pinlano na ilipat ang lahat ng NPM account na walang two-factor authentication na naka-enable para gumamit ng pinalawig na pag-verify ng account, na nangangailangan ng pagpasok ng isang beses na code na ipinadala sa pamamagitan ng email kapag sinusubukang mag-log in sa npmjs.com o magsagawa ng authenticated operasyon sa npm utility. Kapag pinagana ang two-factor authentication, hindi ilalapat ang pinahabang pag-verify ng email. Sa Pebrero 16 at 13, isang pagsubok na pansamantalang paglulunsad ng pinalawig na pag-verify para sa lahat ng mga account ay isasagawa sa loob ng isang araw.
Tandaan natin na ayon sa isang pag-aaral na isinagawa noong 2020, 9.27% ββlang ng mga package maintainer ang gumamit ng two-factor authentication para protektahan ang access, at sa 13.37% ng mga kaso, kapag nagrerehistro ng mga bagong account, sinubukan ng mga developer na gumamit muli ng mga nakompromisong password na lumabas sa kilalang pagtagas ng password. Sa panahon ng pagsusuri sa seguridad ng password, 12% ng mga NPM account (13% ng mga package) ang na-access dahil sa paggamit ng mga predictable at trivial na password gaya ng "123456." Kabilang sa mga may problema ay 4 na user account mula sa Top 20 pinakasikat na package, 13 account na may mga package na na-download nang higit sa 50 milyong beses bawat buwan, 40 na may higit sa 10 milyong mga pag-download bawat buwan, at 282 na may higit sa 1 milyong mga pag-download bawat buwan. Isinasaalang-alang ang paglo-load ng mga module sa isang hanay ng mga dependency, ang kompromiso ng mga hindi pinagkakatiwalaang account ay maaaring makaapekto sa hanggang 52% ng lahat ng mga module sa NPM.
Pinagmulan: opennet.ru