由于大型项目存储库被劫持以及通过开发者帐户被盗用而传播恶意代码的案例不断增加,GitHub 正在引入广泛的扩展帐户验证。 另外,明年初将针对 500 个最受欢迎的 NPM 软件包的维护者和管理员引入强制双因素身份验证。
从7年2021月4日到2022年XNUMX月XNUMX日,所有有权发布NPM包但不使用二因素身份验证的维护者将切换为使用扩展帐户验证。 高级验证要求在尝试登录 npmjs.com 网站或在 npm 实用程序中执行经过身份验证的操作时输入通过电子邮件发送的一次性代码。
增强验证不会取代而只是补充以前可用的可选双因素身份验证,该身份验证需要使用一次性密码 (TOTP) 进行确认。 启用双因素身份验证时,不会应用扩展电子邮件验证。 从 1 年 2022 月 100 日开始,500 个最受欢迎且依赖项数量最多的 NPM 软件包的维护者将开始切换到强制双因素身份验证。 完成前 XNUMX 个迁移后,更改将按依赖项数量分发到 XNUMX 个最流行的 NPM 包。
除了当前可用的基于生成一次性密码的应用程序(Authy、Google Authenticator、FreeOTP 等)的双因素身份验证方案外,他们计划在 2022 年 XNUMX 月添加使用硬件密钥和生物识别扫描仪的功能,以便它支持 WebAuthn 协议,并且能够注册和管理各种附加身份验证因素。
让我们记住,根据 2020 年进行的一项研究,只有 9.27% 的软件包维护者使用双因素身份验证来保护访问,并且在 13.37% 的情况下,在注册新帐户时,开发人员试图重复使用出现在已知密码泄露。 在密码安全审查期间,12% 的 NPM 帐户(13% 的软件包)由于使用可预测且简单的密码(例如“123456”)而被访问。 其中有4个来自最受欢迎的前20个软件包的用户帐户,13个软件包每月下载量超过50万次的帐户,40个每月下载量超过10万次的帐户,以及282个每月下载量超过1万次的帐户。 考虑到沿着依赖链加载模块,不受信任帐户的泄露可能会影响 NPM 中多达 52% 的模块。
来源: opennet.ru