У зв'язку з випадками захоплення репозиторіїв великих проектів і просування шкідливого коду через компрометацію облікових записів розробників, компанія GitHub вводить повсюдну розширену верифікацію облікових записів. Окремо для супроводжуючих та адміністраторів 500 найпопулярніших NPM-пакетів на початку наступного року буде впроваджено обов'язкову двофакторну автентифікацію.
З 7 грудня 2021 року по 4 січня 2022 року буде здійснено переведення всіх мейнтейнерів, які мають право публікації NPM-пакетів, але не використовують двофакторну автентифікацію, на використання розширеної верифікації облікових записів. Розширена верифікація має на увазі необхідність введення одноразового коду, що відправляється на email при спробі входу на сайт npmjs.com або виконання автентифікованої операції в утиліті npm.
Розширена верифікація не замінює, а лише доповнює раніше доступну опціональну двофакторну аутентифікацію, при якій потрібне підтвердження за допомогою одноразових паролів (TOTP). При включенні двофакторної автентифікації розширена верифікація по e-mail не застосовується. Починаючи з 1 лютого 2022 року почнеться процес перекладу на обов'язкову двофакторну автентифікацію 100 найпопулярніших NPM-пакетів, що супроводжують 500, які мають найбільшу кількість залежностей. Після завершення міграції першої сотні зміна буде поширена на XNUMX найпопулярніших за кількістю залежностей NPM-пакетів.
Крім доступної в даний час схеми двофакторної аутентифікації на основі додатків для генерації одноразових паролів (Authy, Google Authenticator, FreeOTP і т.п.) у квітні 2022 планують додати можливість використання апаратних ключів і біометричних сканерів, для яких є підтримка протоколу WebAuthn, а також можливість реєстрації та управління різними додатковими факторами аутентифікації.
Нагадаємо, що відповідно до проведеного в 2020 році дослідження, лише 9.27% мейнтенерів пакетів використовують для захисту доступу двофакторну автентифікацію, а в 13.37% випадків при реєстрації нових облікових записів розробники намагалися повторно використовувати скомпрометовані паролі, що фігурують у відомих витік. Під час перевірки надійності використовуваних паролів вдалося отримати доступ до 12% акаунтів у NPM (13% пакетів) через використання передбачуваних та тривіальних паролів, таких як «123456». Серед проблемних виявилися 4 облікові записи користувачів з Top20 найпопулярніших пакетів, 13 облікових записів, пакети яких завантажували понад 50 млн разів на місяць, 40 — понад 10 млн завантажень на місяць та 282 з понад 1 млн завантажень на місяць. З урахуванням завантаження модулів по ланцюжку залежностей, компрометація ненадійних облікових записів могла вразити до 52% від усіх модулів в NPM.
Джерело: opennet.ru