GitHub פרסמה לאחרונה כמה שינויים במערכת האקולוגית של NPM ביחס לבעיות האבטחה שהתעוררו ואחת מהאחרונות הייתה שחלק מהתוקפים הצליחו להשתלט על חבילת coa NPM ושחררו עדכונים 2.0.3, 2.0.4, 2.1.1, 2.1.3 ו-3.1.3. XNUMX, שכלל שינויים זדוניים.
ביחס לכך ועם השכיחות הגוברת של תפיסות מאגרים של פרויקטים גדולים וקידום קוד זדוני באמצעות פשרה של חשבונות מפתחים, GitHub מציגה אימות חשבון מורחב.
בנפרד, עבור מנהלים ומנהלים של 500 חבילות ה-NPM הפופולריות ביותר, אימות דו-גורמי חובה יוכנס בתחילת השנה הבאה.
מ-7 בדצמבר 2021 עד 4 בינואר 2022, כל המתחזקים שיש להם את הזכות לשחרר חבילות NPM, אבל שאינם משתמשים באימות דו-שלבי, יועברו לשימוש באימות חשבון מורחב. אימות מורחב כרוך בצורך להזין קוד ייחודי שנשלח בדוא"ל בעת ניסיון להיכנס לאתר npmjs.com או לבצע פעולה מאומתת בכלי השירות npm.
אימות מורחב אינו מחליף אלא רק משלים אימות דו-גורמי אופציונלי זמין בעבר, מה שדורש אימות של סיסמאות חד פעמיות (TOTP). אימות דוא"ל מורחב אינו חל כאשר אימות דו-שלבי מופעל. החל מה-1 בפברואר 2022, יתחיל תהליך המעבר לאימות דו-גורמי חובה של 100 חבילות ה-NPM הפופולריות ביותר עם הכי הרבה תלות.
היום אנו מציגים את אימות ההתחברות המשופר ברישום npm, ונתחיל השקה מדורגת עבור מתחזקים החל מה-7 בדצמבר ומסתיים ב-4 בינואר. מנהלי הרישום של Npm שיש להם גישה לפרסום חבילות ואין להם אימות דו-גורמי (2FA) מופעל יקבלו אימייל עם סיסמה חד פעמית (OTP) כאשר הם מאמתים דרך אתר npmjs.com או Npm CLI.
יש לספק את ה-OTP הזה שנשלח בדוא"ל בנוסף לסיסמת המשתמש לפני האימות. שכבת אימות נוספת זו מסייעת במניעת התקפות חטיפת חשבונות נפוצות, כגון מילוי אישורים, המשתמשות בסיסמה שנפרצה ושימוש חוזר של משתמש. ראוי לציין כי אימות התחברות משופר נועד להוות הגנה בסיסית נוספת עבור כל המפרסמים. זה לא תחליף ל-2FA, NIST 800-63B. אנו מעודדים את המתחזקים לבחור באימות 2FA. על ידי כך, לא תצטרך לבצע אימות התחברות משופר.
לאחר השלמת ההגירה של המאה הראשונים, השינוי יופץ ל-500 חבילות ה-NPM הפופולריות ביותר מבחינת מספר התלות.
בנוסף לסכימות האימות הדו-גורמי המבוססות על יישומים הזמינות כעת להפקת סיסמאות חד פעמיות (Authy, Google Authenticator, FreeOTP וכו'), באפריל 2022, הם מתכננים להוסיף את היכולת להשתמש במפתחות חומרה ובסורקים ביומטריים עבורו קיימת תמיכה בפרוטוקול WebAuthn, כמו גם יכולת רישום וניהול גורמי אימות נוספים שונים.
נזכיר כי על פי מחקר שנערך בשנת 2020, רק 9.27% ממנהלי החבילות משתמשים באימות דו-גורמי כדי להגן על הגישה, וב-13.37% מהמקרים, בעת רישום חשבונות חדשים, מפתחים ניסו לעשות שימוש חוזר בסיסמאות שנפרצו המופיעות בסיסמאות ידועות. .
במהלך ניתוח חוזק סיסמה בשימוש, ניגשו ל-12% מהחשבונות ב-NPM (13% מהחבילות) עקב שימוש בסיסמאות צפויות וטריוויאליות כגון "123456". בין הבעיות היו 4 חשבונות משתמש מתוך 20 החבילות הפופולריות ביותר, 13 חשבונות שהחבילות שלהם הורדו יותר מ-50 מיליון פעמים בחודש, 40 - יותר מ-10 מיליון הורדות בחודש ו-282 עם יותר ממיליון הורדות בחודש. בהתחשב בעומס המודולים לאורך שרשרת התלות, התפשרות על חשבונות לא מהימנים עלולה להשפיע על עד 1% מכלל המודולים ב-NPM בסך הכל.
בסופו של דבר אם אתה מעוניין לדעת יותר על כך, אתה יכול לבדוק את הפרטים בהערה המקורית בקישור הבא.