Do ngày càng có nhiều trường hợp kho lưu trữ của các dự án lớn bị tấn công và mã độc được quảng bá thông qua việc xâm phạm tài khoản nhà phát triển, GitHub đang giới thiệu tính năng xác minh tài khoản mở rộng rộng rãi. Riêng biệt, xác thực hai yếu tố bắt buộc sẽ được giới thiệu cho người bảo trì và quản trị viên của 500 gói NPM phổ biến nhất vào đầu năm tới.
Từ ngày 7 tháng 2021 năm 4 đến ngày 2022 tháng XNUMX năm XNUMX, tất cả các nhà bảo trì có quyền xuất bản gói NPM nhưng không sử dụng xác thực hai yếu tố sẽ được chuyển sang sử dụng xác minh tài khoản mở rộng. Xác minh nâng cao yêu cầu nhập mã một lần được gửi qua email khi cố gắng đăng nhập vào trang web npmjs.com hoặc thực hiện thao tác xác thực trong tiện ích npm.
Xác minh nâng cao không thay thế mà chỉ bổ sung cho xác thực hai yếu tố tùy chọn có sẵn trước đó, yêu cầu xác nhận bằng mật khẩu một lần (TOTP). Khi xác thực hai yếu tố được bật, xác minh email mở rộng sẽ không được áp dụng. Bắt đầu từ ngày 1 tháng 2022 năm 100, quá trình chuyển sang xác thực hai yếu tố bắt buộc sẽ bắt đầu đối với những người duy trì 500 gói NPM phổ biến nhất với số lượng phụ thuộc lớn nhất. Sau khi hoàn tất quá trình di chuyển hàng trăm gói đầu tiên, thay đổi sẽ được phân phối cho XNUMX gói NPM phổ biến nhất theo số lượng phụ thuộc.
Ngoài sơ đồ xác thực hai yếu tố hiện có dựa trên các ứng dụng tạo mật khẩu một lần (Authy, Google Authenticator, FreeOTP, v.v.), vào tháng 2022 năm XNUMX, họ có kế hoạch bổ sung khả năng sử dụng khóa cứng và máy quét sinh trắc học, để có hỗ trợ cho giao thức WebAuthn cũng như khả năng đăng ký và quản lý các yếu tố xác thực bổ sung khác nhau.
Hãy nhớ rằng, theo một nghiên cứu được thực hiện vào năm 2020, chỉ 9.27% người bảo trì gói sử dụng xác thực hai yếu tố để bảo vệ quyền truy cập và trong 13.37% trường hợp, khi đăng ký tài khoản mới, nhà phát triển đã cố gắng sử dụng lại mật khẩu bị xâm phạm đã xuất hiện trong rò rỉ mật khẩu đã biết. Trong quá trình đánh giá bảo mật mật khẩu, 12% tài khoản NPM (13% gói) đã bị truy cập do sử dụng các mật khẩu tầm thường và có thể dự đoán được, chẳng hạn như “123456”. Trong số những vấn đề có 4 tài khoản người dùng thuộc Top 20 gói phổ biến nhất, 13 tài khoản có gói được tải xuống hơn 50 triệu lần mỗi tháng, 40 tài khoản có hơn 10 triệu lượt tải xuống mỗi tháng và 282 tài khoản có hơn 1 triệu lượt tải xuống mỗi tháng. Khi tính đến việc tải các mô-đun dọc theo chuỗi phụ thuộc, việc xâm phạm các tài khoản không đáng tin cậy có thể ảnh hưởng tới 52% tất cả các mô-đun trong NPM.
Nguồn: opennet.ru