Die NPM-bewaarplek bevat verpligte twee-faktor-verifikasie vir rekeninge wat die 500 gewildste NPM-pakkette in stand hou. Die aantal afhanklike pakkette is as 'n gewildheidskriterium gebruik. Onderhouers van gelyste pakkette sal slegs wysigingsverwante bewerkings op die bewaarplek kan uitvoer nadat tweefaktor-verifikasie geaktiveer is, wat aanmeldbevestiging vereis deur eenmalige wagwoorde (TOTP) gegenereer deur toepassings soos Authy, Google Authenticator en FreeOTP, of hardeware sleutels en biometriese skandeerders, wat die WebAuth-protokol ondersteun.
Dit is die derde fase om NPM se beskerming teen rekeningkompromie te versterk. Die eerste fase het behels die omskakeling van alle NPM-rekeninge wat nie twee-faktor-verifikasie geaktiveer het nie om gevorderde rekeningverifikasie te gebruik, wat vereis dat 'n eenmalige kode wat per e-pos gestuur is, ingevoer word wanneer daar probeer word om by npmjs.com aan te meld of 'n geverifieerde bewerking in die npm uit te voer nut. In die tweede fase is verpligte tweefaktor-verifikasie vir die 100 gewildste pakkette geaktiveer.
Kom ons onthou dat volgens 'n studie wat in 2020 gedoen is, slegs 9.27% van pakketonderhouers twee-faktor-verifikasie gebruik het om toegang te beskerm, en in 13.37% van die gevalle, wanneer nuwe rekeninge geregistreer is, het ontwikkelaars probeer om gekompromitteerde wagwoorde wat in bekende verskynsels verskyn het, te hergebruik. wagwoord lek. Tydens 'n wagwoordsekuriteitoorsig is toegang tot 12% van NPM-rekeninge (13% van pakkette) verkry as gevolg van die gebruik van voorspelbare en onbenullige wagwoorde soos "123456." Onder die problematiese was 4 gebruikersrekeninge van die Top 20 gewildste pakkette, 13 rekeninge met pakkette wat meer as 50 miljoen keer per maand afgelaai is, 40 met meer as 10 miljoen aflaaie per maand, en 282 met meer as 1 miljoen aflaaie per maand. Met inagneming van die laai van modules langs 'n ketting van afhanklikhede, kan kompromie van onbetroubare rekeninge tot 52% van alle modules in NPM raak.
Bron: opennet.ru