GitHub оголосив про включення в репозиторії NPM обов'язкової двофакторної автентифікації для 100 NPM-пакетів, включених як залежність до найбільшої кількості пакетів. Супроводжуючі дані пакетів відтепер зможуть виконати операції з репозиторієм, що вимагають аутентифікації, тільки після включення двофакторної аутентифікації, що вимагає підтвердження входу за допомогою одноразових паролів (TOTP), що генеруються такими додатками, як Authy, Google Authenticator і FreeOTP. Найближчим часом крім TOTP планують додати можливість використання апаратних ключів та біометричних сканерів, які підтримують протокол WebAuth.
На 1 березня намічено переведення всіх облікових записів NPM, для яких не включено двофакторну автентифікацію, на використання розширеної верифікації облікових записів, яка вимагає введення одноразового коду, що надсилається на email при спробі входу на сайт npmjs.com або виконання аутентифікованої операції в утиліті n. При включенні двофакторної автентифікації розширена верифікація по e-mail не застосовується. 16 та 13 лютого на добу буде здійснено пробний тимчасовий запуск розширеної верифікації для всіх облікових записів.
Нагадаємо, що відповідно до проведеного в 2020 році дослідження, лише 9.27% мейнтенерів пакетів використовували для захисту доступу двофакторну автентифікацію, а в 13.37% випадків при реєстрації нових облікових записів розробники намагалися повторно використовувати скомпрометовані паролі, що фігурують у відомих утеках. Під час перевірки надійності використовуваних паролів вдалося отримати доступ до 12% акаунтів у NPM (13% пакетів) через використання передбачуваних та тривіальних паролів, таких як «123456». Серед проблемних виявилися 4 облікові записи користувачів з Top20 найпопулярніших пакетів, 13 облікових записів, пакети яких завантажували понад 50 млн разів на місяць, 40 — понад 10 млн завантажень на місяць та 282 з понад 1 млн завантажень на місяць. З урахуванням завантаження модулів по ланцюжку залежностей, компрометація ненадійних облікових записів могла вразити до 52% від усіх модулів в NPM.
Джерело: opennet.ru