У рэпазітары NPM уключана ўжыванне абавязковай двухфактарнай аўтэнтыфікацыі для ўліковых запісаў суправаджаюць 500 самых папулярных NPM-пакетаў. У якасці крытэра папулярнасці выкарыстана колькасць залежных пакетаў. Суправаджаючыя якія патрапілі ў спіс пакетаў змогуць выканаць злучаныя з занясеннем змен аперацыі з рэпазітаром толькі пасля ўключэння двухфактарнай аўтэнтыфікацыі, якая патрабуе пацверджання ўваходу пры дапамозе аднаразовых пароляў (TOTP), генераваных такімі прыкладаннямі, як Authy, Google Authenticator і FreeOTP, ці апаратных якія падтрымліваюць пратакол WebAuth.
Гэта трэці этап узмацнення абароны NPM ад кампраметацыі уліковых запісаў. На першым этапе быў выкананы пераклад усіх уліковых запісаў NPM, для якіх не ўключаная двухфактарная аўтэнтыфікацыя, на выкарыстанне пашыранай верыфікацыі ўліковых запісаў, якая патрабуе ўводу аднаразовага кода, які адпраўляецца на email пры спробе ўваходу на сайт npmjs.com або выкананні аўтэнтыфікаванай аперацыі ва ўтыліце np. На другім этапе абавязковая двухфактарная аўтэнтыфікацыя была ўключана для 100 самых папулярных пакетаў.
Нагадаем, што ў адпаведнасці з праведзеным у 2020 годзе даследаваннем, толькі 9.27% мэйнтэнераў пакетаў выкарыстоўвалі для абароны доступу двухфактарную аўтэнтыфікацыю, а ў 13.37% выпадкаў пры рэгістрацыі новых уліковых запісаў распрацоўшчыкі спрабавалі паўторна выкарыстоўваць скампраметаваныя паролі, якія фігуруюць у вядомых утете. Падчас праверкі надзейнасці выкарыстоўваных пароляў атрымалася атрымаць доступ да 12% акаўнтаў у NPM (13% пакетаў) з-за выкарыстанні прадказальных і трывіяльных пароляў, такіх як "123456". У ліку праблемных апынуліся 4 уліковыя запісы карыстальнікаў з Top20 самых папулярных пакетаў, 13 уліковых запісаў, пакеты якіх загружалі больш за 50 млн раз у месяц, 40 – больш за 10 млн загрузак у месяц і 282 з больш за 1 млн загрузак у месяц. З улікам загрузкі модуляў па ланцужку залежнасцяў, кампраметацыя ненадзейных уліковых запісаў магла трапіць у суме да 52% ад усіх модуляў у NPM.
Крыніца: opennet.ru