image

Negentig procent npm-ontwikkelaars gebruikt geen 2FA

dinsdag 7 januari 2020, 13:10 door Redactie, 2 reacties

Meer dan negentig procent van de ontwikkelaars die JavaScript-programma's ontwikkelt en via het npm registry aanbiedt maakt geen gebruik van tweefactorauthenticatie (2FA) om het eigen account te beveiligen, zo blijkt uit cijfers die npm in een blogposting openbaar heeft gemaakt.

Npm is de package manager voor de JavaScript-programmeertaal en naar eigen zeggen het grootste softwarearchief ter wereld. Via het npm registry biedt het een groot archief met openbare en besloten, commerciële packages. De ontwikkelaars van deze packages blijken verschillende maatregelen om hun account te beschermen niet altijd te nemen.

Zo heeft slechts 9,27 procent van de ontwikkelaars 2FA ingesteld. Dat houdt in dat een geraden of gestolen wachtwoord voldoende is om toegang tot een account te krijgen en bijvoorbeeld kwaadaardige code aan het JavaScript-package toe te voegen. En dat is geen theoretisch risico. In het verleden konden aanvallers via een hergebruikt wachtwoord toegang tot de ESLint-software krijgen en besmette versies via npm verspreiden.

Om het risico van gekaapte accounts tegen te gaan besloot Mozilla onlangs om 2FA voor ontwikkelaars van Firefox-extensies te verplichten. Ook Adam Baldwin, vicepresident security bij npm, vindt dat ontwikkelaars op het platform 2FA zouden moeten instellen. "Percentage van ontwikkelaars die 2FA gebruiken: 9,27. Percentage dat dit zou moeten doen: 100", zo laat hij weten.

Daarnaast verbiedt npm het hergebruik van gelekte wachtwoorden die via datalekken openbaar zijn geworden. Hiervoor maakt het platform gebruik van 555 miljoen wachtwoorden die door datalekzoekmachine Have I Been Pwned beschikbaar zijn gesteld. Bij 13,37 procent van de accounts die vorig jaar werd aangemaakt koos de betreffende ontwikkelaar een wachtwoord dat op deze lijst voorkomt en kreeg vervolgens een melding te zien om een ander wachtwoord te kiezen.

Reacties (2)
07-01-2020, 13:21 door Anoniem
Not so hip now, eh, javascript man?
07-01-2020, 13:24 door Anoniem
<quote>Bij 13,37 procent van de accounts</quote>
Mooi getal, zelfs statistiek doet aan l33tspeak :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.