يشتمل مستودع NPM على مصادقة ثنائية إلزامية للحسابات التي تحتفظ بأكثر 500 حزمة NPM شيوعًا. تم استخدام عدد الحزم التابعة كمعيار للشعبية. لن يتمكن القائمون على صيانة الحزم المدرجة من إجراء العمليات المتعلقة بالتعديل في المستودع إلا بعد تمكين المصادقة الثنائية، والتي تتطلب تأكيد تسجيل الدخول باستخدام كلمات مرور لمرة واحدة (TOTP) تم إنشاؤها بواسطة تطبيقات مثل Authy وGoogle Authenticator وFreeOTP، أو مفاتيح الأجهزة والماسحات الضوئية البيومترية، التي تدعم بروتوكول WebAuth.
هذه هي المرحلة الثالثة لتعزيز حماية NPM ضد اختراق الحساب. تضمنت المرحلة الأولى تحويل جميع حسابات NPM التي لم يتم تمكين المصادقة الثنائية لاستخدام التحقق المتقدم من الحساب، الأمر الذي يتطلب إدخال رمز لمرة واحدة يتم إرساله عبر البريد الإلكتروني عند محاولة تسجيل الدخول إلى npmjs.com أو إجراء عملية مصادق عليها في npm جدوى. وفي المرحلة الثانية، تم تفعيل المصادقة الثنائية الإلزامية للحزم المائة الأكثر شيوعًا.
دعونا نتذكر أنه وفقًا لدراسة أجريت عام 2020، استخدم 9.27% فقط من مشرفي الحزم المصادقة الثنائية لحماية الوصول، وفي 13.37% من الحالات، عند تسجيل حسابات جديدة، حاول المطورون إعادة استخدام كلمات المرور المخترقة التي ظهرت في الملفات المعروفة. تسرب كلمة المرور. أثناء مراجعة أمان كلمة المرور، تم الوصول إلى 12% من حسابات NPM (13% من الحزم) بسبب استخدام كلمات مرور تافهة ويمكن التنبؤ بها مثل "123456". ومن بين الحسابات التي بها مشكلات، 4 حسابات مستخدمين من أفضل 20 حزمة شعبية، و13 حسابًا بها حزم تم تنزيلها أكثر من 50 مليون مرة شهريًا، و40 حسابًا بأكثر من 10 ملايين تنزيل شهريًا، و282 مع أكثر من مليون تنزيل شهريًا. مع الأخذ في الاعتبار تحميل الوحدات عبر سلسلة من التبعيات، قد يؤثر اختراق الحسابات غير الموثوق بها على ما يصل إلى 1% من جميع الوحدات في NPM.
المصدر: opennet.ru