The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

GitHub внедряет в NPM обязательную расширенную верификацию учётных записей

08.12.2021 11:16

В связи с участившимися случаями захвата репозиториев крупных проектов и продвижения вредоносного кода через компрометацию учётных записей разработчиков, компания GitHub вводит повсеместную расширенную верификацию учётных записей. Отдельно для сопровождающих и администраторов 500 самых популярных NPM-пакетов в начале следующего года будет внедрена обязательная двухфакторная аутентификация.

С 7 декабря 2021 года по 4 января 2022 года будет произведён перевод всех мэйнтейнеров, имеющих право публикации NPM-пакетов, но не использующих двухфакторную аутентификацию, на использование расширенной верификации учётных записей. Расширенная верификация подразумевает необходимость ввода одноразового кода, отправляемого на email при попытке входа на сайт npmjs.com или выполнения аутентифицируемой операции в утилите npm.

Расширенная верификация не заменяет, а лишь дополняет ранее доступную опциональную двухфакторную аутентификацию, при которой требуется подтверждение при помощи одноразовых паролей (TOTP). При включении двухфакторной аутентификации расширенная верификация по email не применяется. Начиная с 1 февраля 2022 года начнётся процесс перевода на обязательную двухфакторную аутентификацию сопровождающих 100 самых популярных NPM-пакетов, имеющих наибольшее число зависимостей. После завершения миграции первой сотни, изменение будет распространено на 500 самых популярных по числу зависимостей NPM-пакетов.

Помимо доступной в настоящее время схемы двухфакторной аутентификации на основе приложений для генерации одноразовых паролей (Authy, Google Authenticator, FreeOTP и т.п.) в апреле 2022 года планируют добавить возможность использования аппаратных ключей и биометрических сканеров, для которых имеется поддержка протокола WebAuthn, а также возможность регистрации и управления различными дополнительными факторами аутентификации.

Напомним, что в соответствии с проведённым в 2020 году исследованием, лишь 9.27% мэйнтенеров пакетов используют для защиты доступа двухфакторную аутентификацию, а в 13.37% случаев при регистрации новых учётных записей разработчики пытались повторно использовать скомпрометированные пароли, фигурирующие в известных утечках паролей. В ходе проверки надёжности используемых паролей удалось получить доступ к 12% аккаунтов в NPM (13% пакетов) из-за использования предсказуемых и тривиальных паролей, таких как "123456". В числе проблемных оказались 4 учётные записи пользователей из Top20 самых популярных пакетов, 13 учётных записей, пакеты которых загружали более 50 млн раз в месяц, 40 - более 10 млн загрузок в месяц и 282 с более 1 млн загрузок в месяц. С учётом загрузки модулей по цепочке зависимостей, компрометация ненадёжных учётных записей могла поразить в сумме до 52% от всех модулей в NPM.

  1. Главная ссылка к новости (https://github.blog/2021-12-07...)
  2. OpenNews: Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM
  3. OpenNews: GitHub запрещает парольную аутентификацию при доступе к Git
  4. OpenNews: GitHub вводит новые требования для удалённого подключения к Git
  5. OpenNews: GitHub заблокировал SSH-ключи, сгенерированные при помощи библиотеки keypair
  6. OpenNews: GitHub опубликовал статистику за 2021 год
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/56304-npm
Ключевые слова: npm, github
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (47) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, kusb (?), 11:22, 08/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Которую взломают...
     
     
  • 2.8, fghj (?), 12:08, 08/12/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Которую взломают...

    Главное это цена взлома vs выгода от взлома.
    Они очевидно поднимают цену взлома, чтобы угнав email
    с помощью простейших средства типа социальной инженерии
    нельзя было взломать github аккаунт.

     
     
  • 3.9, Аноним (-), 12:18, 08/12/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Ну да, а выгодно гуглам и прочим клаудфларам. сколько гугол просит ? 200$ за доступ в почту кажеться. потому не держу ничего ценнее 199$ бггга, пусть разорятся
     
  • 2.35, Аноним (35), 23:56, 08/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Будут потом слюну брать на анализ и верификацию... Ширину носа измерять...
     
     
  • 3.46, kusb (?), 18:27, 09/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Кидать полотенце, спрашивать кто ты по масти.
     
  • 2.55, Kuromi (ok), 00:28, 15/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    WebAuthn вряд ли сломают, там нужен железный ключ для доступа, особенно прикольно когда он внешний.
     

  • 1.2, Аноним (2), 11:22, 08/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Попытка (разгрести это Г) — не пытка.
     
     
  • 2.22, Коба (?), 16:38, 08/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лаврентий Павлович, залогиньтесь!
     

  • 1.3, Аноним (-), 11:43, 08/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –9 +/
    email - сама по себе дырень в безопасности (у всех же бесплатные ? самодельные перестали работать после запуска гмыла) уходите с модели имейл подтверждений при регистрации, рисуйте дикие капчи, с математикой и пушкиным
     
     
  • 2.14, Аноним (-), 12:57, 08/12/2021 [^] [^^] [^^^] [ответить]  
  • +8 +/
    12% "программистов" не способны пароль сгенерить. Какие к чёрту капчи? Тут спасёт только стерилизация.
     
  • 2.17, kusb (?), 14:26, 08/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > email - сама по себе дырень в безопасности (у всех же бесплатные
    > ? самодельные перестали работать после запуска гмыла) уходите с модели имейл
    > подтверждений при регистрации, рисуйте дикие капчи, с математикой и пушкиным

    Было расширение, чтобы Pow прикрутить, могли придумать чтобы сервер получателя спрашивал капчу у отправителя. Сразу немного не озаботились, но частично к лучшему.

     
  • 2.19, YetAnotherOnanym (ok), 15:30, 08/12/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    <troll>Сделали бы давно уже через ЕСИА!</troll>
     
  • 2.26, OpenEcho (?), 17:02, 08/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > у всех же бесплатные ? самодельные перестали работать после запуска гмыла

    Ни х себе?! Здесь зарываешься от заказов на емэйл серваки, а оно вон оказывается, как - все и под гмаил

     
     
  • 3.36, _ (??), 00:47, 09/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    То серваки - кого надо серваки! :-)
    А остальные в гмыле\ггг360 - хрен поспоришь :(
     
     
  • 4.49, OpenEcho (?), 20:20, 09/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А остальные в гмыле\ггг360 - хрен поспоришь :(

    Это о простом народе что-ли ? Ну так, Кот Базилио был прав, -жадность она до добра не доведет

     
  • 2.34, Аноним (34), 22:46, 08/12/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > самодельные перестали работать после запуска гмыла

    Мой персональный самодельный почтарь работает ещё с тех времён, когда гмыла в помине не было. Почта как тогда работала, так и сейчас продолжает работать. Что ещё расскажешь, ибэшник мамкин?

     
     
  • 3.37, _ (??), 01:50, 09/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я как там твой самодельный деревянный ? Не совсем в труху истёр? :)
    Чтобы "почта работает"(С) ты обизян(С) настроить все полюшки которые гугел хочет. тчк.
    А для супермегаЫнерпрайза "я сам и мой кот"(tm) - можешь хоть FIDO-net гонять, оно кстати тоже до сих работает - и вот это и вправду удивительно 8-)
     
     
  • 4.39, пох. (?), 08:06, 09/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну, для _получения_ почты (на 99% ныне состоящей из спама через гугля и его клонов - яндекса и... а, кстати, давно уже не видно ни яхи, ни мэйлрушечки) пока еще нет, не обязан.

    Правда найти пресловутый пароль в миллионе предложений херни подорого будет непросто.

    > оно кстати тоже до сих работает

    что, до сих пор горячо обсуждают (всколькером - втроем? Впятером?) какую из трех последних эх первой "снести с бона" (которого давно нет), потому что модератора в ней никто не видел уже лет пять? Регулярно перевыбирают ненужноC голосованием из одной кандидатуры (Или наконец короновали одного на все посты сразу)? Что там еще у вас "работало" когда последний раз я запускал tin?

     
  • 4.48, OpenEcho (?), 20:18, 09/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Чтобы "почта работает"(С) ты обизян(С) настроить все полюшки которые гугел хочет. тчк.

    О каких плюшках речь? ДКИМ, СПФ или все в одном влаконе ака ДМАРК ?
    Так оно не о гугле, оно противо-дебилов

     

  • 1.4, Корец (?), 11:53, 08/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Так а смысл? Там же все через один пакеты решeто(если верить новостям).
     
     
  • 2.5, Аноним (5), 12:03, 08/12/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Смысл - захаррасить разработчиков до такой степени, чтобы они перешли на WebAuthn.
     
  • 2.13, КО (?), 12:52, 08/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Им нужны твои номера телефонов для спама, цифровые отпечатки и все твои данные.
    Шапочки из фольги снимать не собираюсь
     
     
  • 3.15, opa (?), 13:56, 08/12/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Качественная шапочка из фольги должна иметь минимум 7 (семь)пар проводник-изолятор и полностью покрывать поверхность защищаемого объема для частот до 5G. В качестве изолятора достаточно хороша пищевая пленка.
     
     
  • 4.18, kusb (?), 14:30, 08/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Качественная шапочка из фольги должна иметь минимум 7 (семь)пар проводник-изолятор и полностью
    > покрывать поверхность защищаемого объема для частот до 5G. В качестве изолятора
    > достаточно хороша пищевая пленка.

    Возможно достаточно изолировать очень низкие частоты "как наводки от проводного радио" и наоборот такие как в 5g?
    Ладно заговор, но может ли 5g раздражать мозг и создавать "помехи"? Большинство частот наверное могут его только нагреть, так?

     
     
  • 5.21, Аноним (5), 16:35, 08/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >но может ли 5g раздражать мозг и создавать "помехи"?

    Может. Неужели не знали, что всем сразу после рождения чип с антенной от Илона в мозг запихивают? Разделение труда, Билл обслуживает старперов, а Илон - молодняк!

     
     
  • 6.24, kusb (?), 16:43, 08/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А еще эти конспирологи всё путают, это не вышки распространяют вирус, а тайная власть, чтобы с вакциной вколоть чипов. А вышки - чтобы их запитать электричеством, поэтому такая частота и так много вышек.
    А у молодых такое есть с рождения, так что они болеют несерьёзно.
     
     
  • 7.32, Аноним (32), 19:43, 08/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А я вообще у себя отключил вайфай 2\5Ггц. Вместе с интернетом.
    После этого начал мыслить ясно и четко.

    Привет Буратино пишу с калькулятора
    Гарри Потер мне просто не отвечает
    Мой мозг навсегда от причала отчалил

     
     
  • 8.45, kusb (?), 15:53, 09/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Но всё равно гармошка по утрам, я родился мирно в сортире бродяг, но в болоте бы... текст свёрнут, показать
     
  • 3.40, пох. (?), 08:08, 09/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Им нужны твои номера телефонов для спама, цифровые отпечатки и все твои данные.

    вроде как раз нет, и они собираются использовать email подтверждение. То есть я почти успел порадоваться как раз их разуму и адекватности, пока не дочитал что это временно и 100 первых в очереди за печатью зверя на лоб уже поставлены, а остальным 500 приготовить лбы.

     

  • 1.16, Аноним (-), 14:17, 08/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    почему то уверен что половина (если не больше) всех случаев с вредоносным кодом была инспирирована самими разработчиками библиотек, монетизация в опенсорсе жестокая и беспощадная )) а потом сказать что ак угнали, лепота )))
     
  • 1.20, freehck (ok), 16:32, 08/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В целом, с учётом того, как npm-щики те ещё раздолбаи, у которых вечно учётки утекают, их принуждение к 2FA -- очень хороший шаг.
     
  • 1.23, Аноним (23), 16:41, 08/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Да внедряйте вы что хотите. Что github что npn пора на свалку.
     
  • 1.28, OpenEcho (?), 17:06, 08/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > в апреле 2022 года планируют добавить возможность использования аппаратных ключей

    Ну наконец то, кто в мелкософте прочитал про аппаратные ключи... Глядишь, они еще и длину пароля может увеличат с 16 на что то более адекватное

     
     
  • 2.33, Kuromi (ok), 21:06, 08/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще-то в самом Гитхабе поддержка WebAuthn есть уже не первый год. Так-то они были одними из первых кто внедрил поддержку U2F (но коряво, только в Хроме), а после покупки Микросами - перешли на WebAuthn, даже в ФФ работает.
     
     
  • 3.47, OpenEcho (?), 20:13, 09/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Вообще-то в самом Гитхабе поддержка WebAuthn есть уже не первый год. Так-то
    > они были одними из первых кто внедрил поддержку U2F

    Странная поддержка, сперва дай им телефон, а вот только потом позволят юзать свою Ю2Ф безделушку

     
     
  • 4.54, Kuromi (ok), 00:25, 15/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> Вообще-то в самом Гитхабе поддержка WebAuthn есть уже не первый год. Так-то
    >> они были одними из первых кто внедрил поддержку U2F
    > Странная поддержка, сперва дай им телефон, а вот только потом позволят юзать
    > свою Ю2Ф безделушку

    Обычно это мотивируется тем что "Токен можно оптерять, аварийные коды вы 100% посеете, так что давайте номер телефона чтобы восстанавливать доступ было чем". К сожалению - распространенная тактика, но не к счастю не везде.

     
     
  • 5.56, OpenEcho (?), 01:18, 16/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Обычно это мотивируется тем что "Токен можно оптерять, аварийные коды вы 100%

    Я б сказал - "не мотивируется", а прикрываются, т.к. получить телефон - это очень нынче сладко, под любым предлогом


     
     
  • 6.57, Kuromi (ok), 01:42, 16/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> Обычно это мотивируется тем что "Токен можно оптерять, аварийные коды вы 100%
    > Я б сказал - "не мотивируется", а прикрываются, т.к. получить телефон -
    > это очень нынче сладко, под любым предлогом

    Само собой. Но не все, НеймЧип скажем не требует давать номер телефона для подключени 2FA. Чтож до "сладко", ну вот мне сегодня пришло радостное письмо от одного книжного онлайн-магазина, что они скоро уберут авторизацию по логину\почте\паролю И соцсеткам полностью и оставят только телефон. "Вам даже пароль не потребуется!" - ага, потому что каждый раз вводи код из СМС, что делать если ты профукал симку или сотовая сеть тупит им дела нету.
    Радость-то какая >_<

     
     
  • 7.58, OpenEcho (?), 08:38, 16/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если б только онлайне магазин, на яхе вон, поменял номер телефона лет 15 назад и не обновил вовремя, теперь, для "исключительно заботы о мне" доступ перекрыт навсегда, к экаунту который был с рождения самой яхи...
     
     
  • 8.59, Kuromi (ok), 19:43, 16/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так именно что Если пропадет доступ к онлайн-магазу книг, где все равно никаких... текст свёрнут, показать
     
  • 2.44, ist (?), 12:50, 09/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    16 символов - это 10^30 вариантов. Вполне достаточно.
     
     
  • 3.50, OpenEcho (?), 20:25, 09/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > 16 символов - это 10^30 вариантов. Вполне достаточно.

    И много народу знаете, которые хотя бы: echo 0x'head -c 16 /dev/urandom | xxd -p' ?

    А вот там где нет дебильного ограничения, так народ в охотку запоминает фразы, и секьюрно и легко.
    Много фраз в 16 символов уложите ?

     
     
  • 4.51, Аноним (-), 10:30, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    $ hsxkpasswd
    $$05~paper~NORTHERN~mine~85$$
     
     
  • 5.52, OpenEcho (?), 14:02, 12/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    passwordgenerator: Vaster=Trivia:Postal+Avenge:Prize%149_Deb%Truces
     
  • 5.53, OpenEcho (?), 16:39, 12/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > $ hsxkpasswd
    > $$05~paper~NORTHERN~mine~85$$

    Вот если вы такой пароль попытаетесь на мелкософт экаунт, то останется:
    $$05~paper~NORTH
    Два словарных слова и совсем чуть чуть цифр и спец символов.

    Если слов меньше чем шесть, то это уже считается - не секьюрно, а энтропия от цифр и пунктуации вообще кака

     

  • 1.29, Аноним (29), 17:59, 08/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Командир сказал: "Хватит разврата", и закопал стюардессу"
    (из анекдота)
     
  • 1.30, Анонимный (?), 18:16, 08/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > 500 самых популярных NPM-пакетов в начале следующего года будет внедрена обязательная двухфакторная

    Толерантно!

     
  • 1.38, Аноним (38), 07:12, 09/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Сколько будет им штраф если биометрия всех людей будет опубликована в Интернете?
     
     
  • 2.42, Аноним (35), 12:45, 09/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вызовут их на ковёр в Конгресс, как Сахарного Мальчика. А потом они станут, как и он сам, искать русскую пропаганду и хакеров на своих сайтах.
     
     
  • 3.43, Аноним (35), 12:46, 09/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это - максимальное наказание... слив можно будет продолжить.
     

  • 1.41, onanim (?), 09:22, 09/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > в 13.37% случаев при регистрации новых учётных записей разработчики пытались повторно использовать скомпрометированные пароли

    совпадение? не думаю.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру