由於大型專案儲存庫被劫持以及透過開發者帳戶被盜用而傳播惡意程式碼的案例不斷增加,GitHub 正在引入廣泛的擴展帳戶驗證。 另外,明年初將針對 500 個最受歡迎的 NPM 軟體包的維護者和管理員引入強制雙重認證。
從7年2021月4日到2022年XNUMX月XNUMX日,所有有權發布NPM包但不使用二因素身份驗證的維護者將切換為使用擴展帳戶驗證。 進階驗證要求在嘗試登入 npmjs.com 網站或在 npm 實用程式中執行經過驗證的操作時輸入透過電子郵件發送的一次性程式碼。
增強驗證不會取代而只是補充先前可用的可選雙重認證,該驗證需要使用一次性密碼 (TOTP) 進行確認。 啟用雙重認證時,不會套用擴充電子郵件驗證。 從 1 年 2022 月 100 日開始,500 個最受歡迎且依賴項數量最多的 NPM 軟體包的維護者將開始切換到強制雙重認證。 完成前 XNUMX 個遷移後,更改將按依賴項數量分發到 XNUMX 個最受歡迎的 NPM 套件。
除了目前可用的基於生成一次性密碼的應用程式(Authy、Google Authenticator、FreeOTP 等)的雙重認證方案外,他們還計劃在 2022 年 XNUMX 月添加使用硬體金鑰和生物識別掃描儀的功能,以便它支援WebAuthn 協議,並且能夠註冊和管理各種附加身份驗證因素。
讓我們記住,根據2020 年進行的一項研究,只有9.27% 的軟體包維護者使用雙重認證來保護訪問,並且在13.37% 的情況下,在註冊新帳戶時,開發人員試圖重複使用出現在已知密碼外洩。 在密碼安全審查期間,12% 的 NPM 帳戶(13% 的軟體包)由於使用可預測且簡單的密碼(例如「123456」)而被存取。 其中有4個來自最受歡迎的前20個軟體包的用戶帳戶,13個軟體包每月下載量超過50萬次的帳戶,40個每月下載量超過10萬次的帳戶,以及282個每月下載量超過1萬次的帳戶。 考慮到沿著依賴鏈載入模組,不受信任帳戶的洩漏可能會影響 NPM 中多達 52% 的模組。
來源: opennet.ru