GitHub, NPM depolarının en fazla sayıda pakette bağımlılık olarak yer alan 100 NPM paketi için iki faktörlü kimlik doğrulamayı etkinleştirdiğini duyurdu. Bu paketlerin bakımcıları artık kimlik doğrulamalı depo işlemlerini ancak Authy, Google Authenticator ve FreeOTP gibi uygulamalar tarafından oluşturulan tek kullanımlık şifreleri (TOTP) kullanarak giriş onayı gerektiren iki faktörlü kimlik doğrulamayı etkinleştirdikten sonra gerçekleştirebilecek. Yakın gelecekte TOTP'ye ek olarak WebAuth protokolünü destekleyen donanım anahtarlarını ve biyometrik tarayıcıları kullanma olanağını da eklemeyi planlıyorlar.
1 Mart'ta, iki faktörlü kimlik doğrulamanın etkin olmadığı tüm NPM hesaplarının, npmjs.com'da oturum açmaya veya kimlik doğrulaması gerçekleştirmeye çalışırken e-postayla gönderilen tek seferlik kodun girilmesini gerektiren genişletilmiş hesap doğrulamayı kullanacak şekilde aktarılması planlanıyor. npm yardımcı programında işlem. İki faktörlü kimlik doğrulama etkinleştirildiğinde genişletilmiş e-posta doğrulaması uygulanmaz. 16 ve 13 Şubat'ta, tüm hesaplar için genişletilmiş doğrulamanın deneme amaçlı geçici lansmanı bir gün boyunca gerçekleştirilecek.
2020'de yapılan bir araştırmaya göre paket bakımcılarının yalnızca %9.27'sinin erişimi korumak için iki faktörlü kimlik doğrulama kullandığını ve vakaların %13.37'sinde geliştiricilerin yeni hesapları kaydederken bilinenlerde görünen güvenliği ihlal edilmiş şifreleri yeniden kullanmaya çalıştığını hatırlayalım. şifre sızıntıları. Parola güvenliği incelemesi sırasında, NPM hesaplarının %12'sine (paketlerin %13'ü) "123456" gibi öngörülebilir ve önemsiz parolaların kullanılması nedeniyle erişildi. Sorunlu olanlar arasında en popüler 4 paketten 20 kullanıcı hesabı, ayda 13 milyondan fazla paket indirilen 50 hesap, ayda 40 milyondan fazla indirilen 10 hesap ve ayda 282 milyondan fazla indirilen 1 hesap vardı. Modüllerin bir bağımlılık zinciri boyunca yüklenmesi dikkate alındığında, güvenilmeyen hesapların ele geçirilmesi, NPM'deki tüm modüllerin %52'ye kadarını etkileyebilir.
Kaynak: opennet.ru