The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В NPM включена обязательная двухфакторная аутентификация для 500 самых популярных пакетов

01.06.2022 07:31

В репозитории NPM включено применение обязательной двухфакторной аутентификации для учётных записей сопровождающих 500 самых популярных NPM-пакетов. В качестве критерия популярности использовано число зависимых пакетов. Сопровождающие попавших в список пакетов смогут выполнить связанные с внесением изменений операции с репозиторием только после включения двухфакторной аутентификации, требующей подтверждения входа при помощи одноразовых паролей (TOTP), генерируемых такими приложениями, как Authy, Google Authenticator и FreeOTP, или аппаратных ключей и биометрических сканеров, поддерживающих протокол WebAuth.

Это третий этап усиления защиты NPM от компрометации учётных записей. На первом этапе был выполнен перевод всех учётных записей NPM, для которых не включена двухфакторная аутентификация, на использование расширенной верификации учётных записей, которая требует ввода одноразового кода, отправляемого на email при попытке входа на сайт npmjs.com или выполнения аутентифицируемой операции в утилите npm. На втором этапе обязательная двухфакторная аутентификация была включена для 100 самых популярных пакетов.

Напомним, что в соответствии с проведённым в 2020 году исследованием, лишь 9.27% мэйнтенеров пакетов использовали для защиты доступа двухфакторную аутентификацию, а в 13.37% случаев при регистрации новых учётных записей разработчики пытались повторно использовать скомпрометированные пароли, фигурирующие в известных утечках паролей. В ходе проверки надёжности используемых паролей удалось получить доступ к 12% аккаунтов в NPM (13% пакетов) из-за использования предсказуемых и тривиальных паролей, таких как "123456". В числе проблемных оказались 4 учётные записи пользователей из Top20 самых популярных пакетов, 13 учётных записей, пакеты которых загружали более 50 млн раз в месяц, 40 - более 10 млн загрузок в месяц и 282 с более 1 млн загрузок в месяц. С учётом загрузки модулей по цепочке зависимостей, компрометация ненадёжных учётных записей могла поразить в сумме до 52% от всех модулей в NPM.

  1. Главная ссылка к новости (https://github.blog/changelog/...)
  2. OpenNews: GitHub раскрыл данные о взломе инфраструктуры NPM и выявлении открытых паролей в логах
  3. OpenNews: GitHub перейдёт на использование обязательной двухфакторной аутентификации
  4. OpenNews: GitHub обновил правила, касающиеся торговых санкций
  5. OpenNews: GitHub внедряет в NPM обязательную расширенную верификацию учётных записей
  6. OpenNews: Уязвимость в репозитории NPM, позволяющая добавить сопровождающего без подтверждения
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/57283-npm
Ключевые слова: npm, github
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (68) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 07:37, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    как же хорошо что я не пишу на JS
     
     
  • 2.6, Аноним (6), 08:21, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +9 +/
    мне тоже хорошо, что ты не пишешь на JS -- меньше конкурентов, выше зарплаты.
     
     
  • 3.8, Жироватт (ok), 08:47, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Вместо одной чайной ложечки риса/час - одна столовая в час, но с обязательством юзать только определённый фреймворк? До-о-о, хороший буст.
     
     
  • 4.9, Аноним (6), 08:50, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > с обязательством юзать только определённый фреймворк?

    А, я понял. То есть одно и то же приложение должно писаться со всем подряд: реакт, ангуляр, вью, а один фанат даже захочет GTK с веб-бэкендом? До-о-о, тогда приложение будет высокоскоростным.

     
     
  • 5.11, Жироватт (ok), 08:58, 01/06/2022 Скрыто модератором
  • +/
     
     
  • 6.12, Аноним (6), 09:05, 01/06/2022 Скрыто модератором
  • +1 +/
     
     
  • 7.15, Жироватт (ok), 09:21, 01/06/2022 Скрыто модератором
  • +/
     
     
  • 8.18, Аноним (6), 09:31, 01/06/2022 Скрыто модератором
  • +1 +/
     
  • 3.19, анон (?), 09:36, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Жаль, что на качество кода и производительности это не влияет.
     
  • 2.31, Аноним (31), 11:37, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Если пользуешься GitHub - то всё для тебя плохо.
     

  • 1.2, Аноним (2), 07:50, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    KeepassXC умеет ТОТР.
     
     
  • 2.5, Аноним (6), 08:20, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    с keepassxc будет не двух-, а однофакторная аутентификация. Фактор один: нужен доступ к разблокированному менеджеру паролей, в котором и пароль, и TOTP.
     
     
  • 3.38, пох. (?), 13:13, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > нужен доступ к разблокированному менеджеру паролей, в котором и все пароли от всего, и TOTP
    > ко всему

    (поправил, не благодари)

    Но поскольку шитхабовские безопастники этого не понимают - не вижу поводов не пользоваться keepassxc - клиенты получат ровно ту "безопастность" которой заслуживают, зачем бороться с неодолимой глупостью?

    Тридцать лет назад умные люди придумали otp чтобы не светить свои пароли и не набирать их в недоверенной среде вообще.  Современные макаки свели их идею к х-ю, попутно поломав все до чего дотянулись.

     

  • 1.4, Косой (?), 07:57, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хочу как было!
     
  • 1.7, Аноним (7), 08:47, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    За пароль 123456 разраба надо банить на всех площадках и шеймить во всех сетях.
     
     
  • 2.21, Аноним (21), 09:41, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    lm8iCan$RVGoQPp+ck3lv;"RgWB0&dgeK6

    За такие то же нужно банить, т.к. очень часто такие пароли записаны на бумажку, которая прикреплена к монику или с нижней стороны клавиатуры, лежит в портмоне и т.д.

     
     
  • 3.23, Аноним (7), 10:11, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    пусть хоть на лбу бумажка эта будет, главное чтобы не сбрутили как всегда пароль и встроили в пакет малварь.
     
     
  • 4.24, Аноним (21), 10:21, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Что мешает эту бумажку сфотать проходящему коллеге, уборщице или тому, кто решил тебя подсидеть?
     
     
  • 5.27, Аноним (7), 10:44, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    каждую неделю про очередной взлом был именно этот сценарий. Уборщицы эти коварные.
     
     
  • 6.30, Аноним (30), 11:12, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > сценарий

    Кем пишется сценарий, заинтересованным лицом? "Официальная реальность"?

     
  • 5.28, YetAnotherOnanym (ok), 11:01, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пусть фоткает. Потому что рядом с монитором, с того краю, где прилеплена бумажка, стоит банка из-под зелёного горошка с карандашами и ручками. Так вот, пароль - это слово "ufhjisu" и цифры под штрих-кодом на этой банке.
     
     
  • 6.36, Жироватт (ok), 13:05, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "ufhjisu" - гарошыг
    Хе
     
  • 6.59, i (??), 07:43, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Будет забавно если банку заменят на специальную корзиночку пока ты в отпуске.
     
     
  • 7.63, YetAnotherOnanym (ok), 09:15, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    У меня дома в кладовке ещё штук пять таких же, неначатых ))
     
  • 5.54, Аноним (54), 21:40, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В кошельке?
     
  • 3.26, Аноним (26), 10:31, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > записаны на бумажку

    в текстовичке "новый файл" на рабочем столе

     
  • 3.32, Sw00p aka Jerom (?), 11:55, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >записаны на бумажку

    главное не приписать туда "Пароль от...", а так самый безопасный способ хранения.

    пс: не храните деньге в сберкассе :)

     
  • 3.33, a_kusb (ok), 12:52, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вот хороший пароль, легко запомнить:
    Vsnhf[fkbcmgthdsqhfpfnsdpzkfj,jchfkfcmrfrytghbznyj,skjvytnt,znhf[fnmfnsdujdyt
     
     
  • 4.42, Аноним (-), 15:09, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Cjhjrnsczxibujhzyd;jgeceyekb,fyfy
     
     
  • 5.76, Аноним (76), 08:52, 05/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ecy64ix.r-9;sm^ZlHB@1R[EF<Z2:dB,crxo=]vW@XF^dDQl%%a3q;o.qQv;t'T7

    круто когда клиенты присылают такой пароль от винды для ввода в ipkvm

     
  • 3.49, Аноним (49), 17:21, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > очень часто такие пароли записаны на бумажку

    Очень часто — это у тебя на твоём личном мониторе? Ну так перестань бумажки на монитор клеить.

     
  • 3.61, Аноним (61), 08:59, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >то же

    Учебный год закончился, и на OpenNet - пополнение из необучаемых.

     

  • 1.14, 1 (??), 09:11, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А leftpad входит в их число ?
     
     
  • 2.16, Бывалый смузихлёб (?), 09:26, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тема с ним вообще к другому нюансу относится )
    А именно - к наличию или отсутствию возможности у разработчика пакета взять его и удалить

    Вплоть до упомянутого, такая возможность была

     
     
  • 3.52, Онаним (?), 18:13, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А значит встраиваемые в пакеты ахтунги у захотевших на выход будут более злобно-изощрёнными.
    Возможно с отложенным срабатыванием :D
     

  • 1.20, Аноним (20), 09:37, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Против намеренного вредительства это как поможет?
    Должен кто-то за пакетами досматривать. Самостоятельно это делать каждому - слишком дорого в масштабах всей экосистемы.
    Инструменты аудита зависимостей и обнаружения аномалий нужны.
     
     
  • 2.74, Онаним (?), 19:41, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    hands.sys поверх определённого уровня доверия, иначе никак
     

  • 1.22, Аноним (22), 10:01, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    этому королю обезьян такие методы не помогут
     
     
  • 2.29, YetAnotherOnanym (ok), 11:07, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Сунь-Укун и Хануман неодобрительно смотрят на тебя.
     

  • 1.25, Аноним (30), 10:22, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    TOTP - это "принудительная смена пароля через определенный промежуток времени" в новом обличии. Теперь пароль меняют с центра, а не пользователь.

    Форсированная "безопасность"!

     
     
  • 2.34, a_kusb (ok), 12:56, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Кончается тем, то это всё невозможно запомнить...
     
     
  • 3.51, Аноним (-), 17:36, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Кончается тем что корпораст отжимает у тебя пакет и спасибо что бесплатно попахал на них, а теперь - проваливай, твои права превратились в тыкву.
     

  • 1.35, a_kusb (ok), 13:02, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А пароли русских слов из жаргонов или исковерканные (записанные орфоэпически правильно) в английской раскладке это надёжно?
    Ёласька-зилёная - ~kfcmrfpbk'yfz
    Кринжестыд - Rhby;tcnsl
    Жабаскрипт-девелопер :f,fcrhbgn-ltdtkjgth
    Запилитьвпродакшон - pfgbkbnmdghjlfrijy
    МелкасофтВыньМаздай - VtkrfcjanDsymVfplfq
    ЯТялаффки - ZNzkfaarb
     
     
  • 2.39, InuYasha (??), 13:26, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    rhby;thtkkf
     
  • 2.40, Sw00p aka Jerom (?), 14:18, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    cvepb[k', :)
     
  • 2.41, Аноним (41), 14:31, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Нет. Ибо при желании на таких вот любителей изысков всегда можно сгенерировать словарь, со всеми их изысками, ашипкоми, перестановками, и его размер все равно будет меньше гигабайта, что несоизмеримо с комбинаторной сложностью настоящего случайного пароля.
     
     
  • 3.73, a_kusb (ok), 17:41, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Нет. Ибо при желании на таких вот любителей изысков всегда можно сгенерировать
    > словарь, со всеми их изысками, ашипкоми, перестановками, и его размер все
    > равно будет меньше гигабайта, что несоизмеримо с комбинаторной сложностью настоящего случайного
    > пароля.

    Уже думал пока писал. Поднять словарь жаргона, частые слова в гугле которые не в словаре, комбинации, ошибки, можно и нейронку припахать.

     
     
  • 4.75, Аноним (41), 21:03, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Причём тут Гугл? Самый полный известный словарь русского языка (Даль) - 200 тыс слов. Сомневаюсь, что жаргон и свежие заимствования добавят ещё более 100 тыс. Те 300 тыс - с запасом, Пусть среднее слово - 8 букв, итого 24 мб. Без сжатия, без дробления на префиксы/суффиксы, без оптимизации поиска.

    Теперь немножко оптимизируем словарь, например, по возрастанию длины слова, и начинаем перебор, варьируя ашипки по слогам. Даже если на каждое слово будет 100 вариантов (а надо ещё умудриться сделать столько вариантов одного слова, а потом ещё и запомнить один из них) - будет всего 30 млн вариантов на 2 гига.

    Для сравнения, случайный 8-значный пароль из 32-символьного алфавита (КИРИЛЛИЦ) даёт 32^8 ~ 10^12 вариантов, 64-символьного ~ 2.8*10^14.

     
  • 2.44, Аноним (44), 16:02, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Даю подсказку, гораздо более безопаснее пароли на кириллице.
     
  • 2.46, Аноним (46), 17:01, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Только смесь иероглифов, смайлкиков и узелкового письма :)
     
  • 2.69, Аноним (69), 17:35, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > это надёжно?

    Теперь нет.

     
     
  • 3.72, a_kusb (ok), 17:38, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> это надёжно?
    > Теперь нет.

    Ха. И кто меня знает?

     

  • 1.37, InuYasha (??), 13:11, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Выберите вашу реакцию:

    > Смешно
    > Грустно
    > Противно <-

     
  • 1.50, Аноним (-), 17:35, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Светлое будущее по майкрософтовски. Не зря же майкрософт скупил это уг. Скоро такое подвалит и прочим хрустикам, зря они чтоли директора в фаундейшн толкали?!
     
     
  • 2.55, Без аргументов (?), 23:26, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Офигеть, я тока щаз узнал, что этим владеет некрософт. Это сразу +=9000 к хейту всей этой содомии, состоящей из миллионов пакетов вида isArray, isNumber (это для вебпака, т.ч. есть у всех обезьян)
     
     
  • 3.65, Аноним (65), 11:31, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А когда ты узнаешь что они купили гитхаб тебя как хомячка разорвет в клочья.  
     
     
  • 4.68, Без аргументов (?), 15:32, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это то я знаю. И про автора гитЛаба тоже.
     
  • 2.56, Без аргументов (?), 23:29, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь стало понятно, почему оно взлетает и вклинивается везде, как всякие меньшинства и прочие C#. Они видимо посчитали, что кол-во углекислого газа разработчика при умственной нагрузке выделяется меньше при использовании этого шлака даже с учетом затрат на электричество и другие следствия плохой производительности.
     

  • 1.57, Без аргументов (?), 23:42, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И почему вообще 500, если для самого минимального фреймворка, webpack, scss, ts нужно несколько десятков тысяч пакетов?
     
     
  • 2.58, Kuromi (ok), 01:00, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что это пстепенное развертывание. Начали со 100 топовых пакетов, теперь уже 500 топовых. Далее будет 1000 и так далее.
    Посмотрели как оно - никто не ушел, никто не поперхнулся, ибо развернуть 2FA даже на ВСЕ пакеты разом - технически не проблема, тут главное неохоту разрабов преодолеть.
     
  • 2.66, Аноним (65), 11:32, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да потому что майкам на самом деле пофиг это же показуха для хом.  
     

  • 1.60, КО (?), 08:25, 02/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Лишь бы номер телефона не требовался.
     
     
  • 2.62, a_kusb (ok), 09:04, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Авторизация через Госуслуги.
     
  • 2.64, Аноним (-), 09:18, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Номер телефона можно потерять по (не)желанию пользователя. А вот уникальный секретный ключ, по которому генерируются временные пароли, хранится вне зависимости от желания пользователя.
     

  • 1.67, Аноним (67), 12:15, 02/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В ходе проверки надёжности используемых паролей удалось получить доступ к 12% аккаунтов в NPM (13% пакетов) из-за использования предсказуемых и тривиальных паролей, таких как "123456".

    А зачем такие пароли принимаются? Давно уже все нормальные сервисы не дают задать пароль слабже некого порога. Или для нпм и это - откровение?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру