В NPM включена обязательная двухфакторная аутентификация для 500 самых популярных пакетов
Автор
Сообщение
news_bot ®
Стаж: 6 лет 2 месяца
Сообщений: 27286
В репозитории NPM включено применение обязательной двухфакторной аутентификации для учётных записей сопровождающих 500 самых популярных NPM-пакетов. В качестве критерия популярности использовано число зависимых пакетов. Сопровождающие попавших в список пакетов смогут выполнить связанные с внесением изменений операции с репозиторием только после включения двухфакторной аутентификации, требующей подтверждения входа при помощи одноразовых паролей (TOTP), генерируемых такими приложениями, как Authy, Google Authenticator и FreeOTP, или аппаратных ключей и биометрических сканеров, поддерживающих протокол WebAuth.
Это третий этап усиления защиты NPM от компрометации учётных записей. На первом этапе был выполнен перевод всех учётных записей NPM, для которых не включена двухфакторная аутентификация, на использование расширенной верификации учётных записей, которая требует ввода одноразового кода, отправляемого на email при попытке входа на сайт npmjs.com или выполнения аутентифицируемой операции в утилите npm. На втором этапе обязательная двухфакторная аутентификация была включена для 100 самых популярных пакетов.
Напомним, что в соответствии с проведённым в 2020 году исследованием, лишь 9.27% мэйнтенеров пакетов использовали для защиты доступа двухфакторную аутентификацию, а в 13.37% случаев при регистрации новых учётных записей разработчики пытались повторно использовать скомпрометированные пароли, фигурирующие в известных утечках паролей. В ходе проверки надёжности используемых паролей удалось получить доступ к 12% аккаунтов в NPM (13% пакетов) из-за использования предсказуемых и тривиальных паролей, таких как "123456". В числе проблемных оказались 4 учётные записи пользователей из Top20 самых популярных пакетов, 13 учётных записей, пакеты которых загружали более 50 млн раз в месяц, 40 - более 10 млн загрузок в месяц и 282 с более 1 млн загрузок в месяц. С учётом загрузки модулей по цепочке зависимостей, компрометация ненадёжных учётных записей могла поразить в сумме до 52% от всех модулей в NPM.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://github.blog/changelog/...)
- OpenNews: GitHub раскрыл данные о взломе инфраструктуры NPM и выявлении открытых паролей в логах
- OpenNews: GitHub перейдёт на использование обязательной двухфакторной аутентификации
- OpenNews: GitHub обновил правила, касающиеся торговых санкций
- OpenNews: GitHub внедряет в NPM обязательную расширенную верификацию учётных записей
- OpenNews: Уязвимость в репозитории NPM, позволяющая добавить сопровождающего без подтверждения
Похожие новости:
- GitHub раскрыл данные о взломе инфраструктуры NPM и выявлении открытых паролей в логах
- Атака на немецкие компании через NPM-пакеты
- GitHub переходит на использование обязательной двухфакторной аутентификации
- GitHub обновил правила, касающиеся торговых санкций
- Уязвимость в репозитории NPM, позволяющая добавить сопровождающего без подтверждения
- Выпуск СУБД libmdbx 0.11.7. Перенос разработки на GitFlic после блокировки в GitHub
- GitHub заблокировал репозиторий SymPy после ложной жалобы
- Атака на GitHub, приведшая к утечке приватных репозиториев и доступу к инфраструктуре NPM
- GitHub реализовал возможность упреждающей блокировки утечек токенов к API
- В NPM-пакет node-ipc внесено вредоносное изменение, удаляющее файлы на системах в России и Белоруссии
Теги для поиска: #_npm, #_github
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 19-Апр 18:36
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 2 месяца |
|
|
В репозитории NPM включено применение обязательной двухфакторной аутентификации для учётных записей сопровождающих 500 самых популярных NPM-пакетов. В качестве критерия популярности использовано число зависимых пакетов. Сопровождающие попавших в список пакетов смогут выполнить связанные с внесением изменений операции с репозиторием только после включения двухфакторной аутентификации, требующей подтверждения входа при помощи одноразовых паролей (TOTP), генерируемых такими приложениями, как Authy, Google Authenticator и FreeOTP, или аппаратных ключей и биометрических сканеров, поддерживающих протокол WebAuth. Это третий этап усиления защиты NPM от компрометации учётных записей. На первом этапе был выполнен перевод всех учётных записей NPM, для которых не включена двухфакторная аутентификация, на использование расширенной верификации учётных записей, которая требует ввода одноразового кода, отправляемого на email при попытке входа на сайт npmjs.com или выполнения аутентифицируемой операции в утилите npm. На втором этапе обязательная двухфакторная аутентификация была включена для 100 самых популярных пакетов. Напомним, что в соответствии с проведённым в 2020 году исследованием, лишь 9.27% мэйнтенеров пакетов использовали для защиты доступа двухфакторную аутентификацию, а в 13.37% случаев при регистрации новых учётных записей разработчики пытались повторно использовать скомпрометированные пароли, фигурирующие в известных утечках паролей. В ходе проверки надёжности используемых паролей удалось получить доступ к 12% аккаунтов в NPM (13% пакетов) из-за использования предсказуемых и тривиальных паролей, таких как "123456". В числе проблемных оказались 4 учётные записи пользователей из Top20 самых популярных пакетов, 13 учётных записей, пакеты которых загружали более 50 млн раз в месяц, 40 - более 10 млн загрузок в месяц и 282 с более 1 млн загрузок в месяц. С учётом загрузки модулей по цепочке зависимостей, компрометация ненадёжных учётных записей могла поразить в сумме до 52% от всех модулей в NPM. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 19-Апр 18:36
Часовой пояс: UTC + 5