GitHub 宣布 NPM 存储库正在为 100 个 NPM 包启用双因素身份验证,这些包作为依赖项包含在最大数量的包中。 这些软件包的维护者现在只能在启用两因素身份验证后才能执行经过身份验证的存储库操作,这需要使用 Authy、Google Authenticator 和 FreeOTP 等应用程序生成的一次性密码 (TOTP) 进行登录确认。 在不久的将来,除了 TOTP 之外,他们还计划添加使用支持 WebAuth 协议的硬件密钥和生物识别扫描仪的功能。
1 月 16 日,计划将所有未启用双因素身份验证的 NPM 帐户转为使用扩展帐户验证,这需要在尝试登录 npmjs.com 或执行身份验证时输入通过电子邮件发送的一次性代码在 npm 实用程序中进行操作。 启用双因素身份验证时,不会应用扩展电子邮件验证。 13月XNUMX日至XNUMX日,对所有账户进行为期一天的临时扩展验证试运行。
让我们记住,根据 2020 年进行的一项研究,只有 9.27% 的软件包维护者使用双因素身份验证来保护访问,并且在 13.37% 的情况下,在注册新帐户时,开发人员试图重复使用已知的泄露密码。密码泄露。 在密码安全审查期间,12% 的 NPM 帐户(13% 的软件包)由于使用可预测且简单的密码(例如“123456”)而被访问。 其中有4个来自最受欢迎的前20个软件包的用户帐户,13个软件包每月下载量超过50万次的帐户,40个每月下载量超过10万次的帐户,以及282个每月下载量超过1万次的帐户。 考虑到沿着依赖链加载模块,不受信任帐户的泄露可能会影响 NPM 中多达 52% 的模块。
来源: opennet.ru