GitHub 宣布 NPM 儲存庫正在為 100 個 NPM 套件啟用雙重認證,這些套件作為依賴項包含在最大數量的套件中。 這些軟體包的維護者現在只能在啟用兩因素身份驗證後才能執行經過身份驗證的儲存庫操作,這需要使用 Authy、Google Authenticator 和 FreeOTP 等應用程式產生的一次性密碼 (TOTP) 進行登入確認。 在不久的將來,除了 TOTP 之外,他們還計劃添加使用支援 WebAuth 協定的硬體金鑰和生物辨識掃描器的功能。
1 月 16 日,計劃將所有未啟用雙重認證的 NPM 帳戶轉為使用擴展帳戶驗證,這需要在嘗試登入 npmjs.com 或執行身份驗證時輸入透過電子郵件發送的一次性代碼在npm 實用程序中進行操作。 啟用雙重認證時,不會套用擴充電子郵件驗證。 13月XNUMX日至XNUMX日,對所有帳戶進行為期一天的臨時擴展驗證試運行。
讓我們記住,根據2020 年進行的一項研究,只有9.27% 的軟體包維護者使用雙重認證來保護訪問,並且在13.37% 的情況下,在註冊新帳戶時,開發人員試圖重複使用已知的洩漏密碼。密碼外洩。 在密碼安全審查期間,12% 的 NPM 帳戶(13% 的軟體包)由於使用可預測且簡單的密碼(例如「123456」)而被存取。 其中有4個用戶帳號來自最受歡迎的前20個軟體包,13個帳號的軟體包每月下載量超過50萬次,40個帳號每月下載量超過10萬次,282個帳號每月下載量超過1萬次。 考慮到沿著依賴鏈加載模組,不可信帳戶的洩漏可能會影響 NPM 中多達 52% 的模組。
來源: opennet.ru