NPM spremište uključuje obaveznu dvofaktorsku autentifikaciju za naloge koji održavaju 500 najpopularnijih NPM paketa. Broj zavisnih paketa korišten je kao kriterij popularnosti. Održavatelji navedenih paketa moći će obavljati operacije vezane za modifikacije na spremištu samo nakon omogućavanja dvofaktorske autentifikacije, koja zahtijeva potvrdu prijave pomoću jednokratnih lozinki (TOTP) generiranih od strane aplikacija kao što su Authy, Google Authenticator i FreeOTP, ili hardvera ključeve i biometrijske skenere, koji podržavaju WebAuth protokol.
Ovo je treća faza jačanja zaštite NPM-a od kompromitovanja računa. Prva faza je uključivala pretvaranje svih NPM naloga koji nemaju omogućenu dvofaktorsku autentifikaciju da koriste naprednu verifikaciju naloga, koja zahtijeva unošenje jednokratnog koda poslanog putem e-pošte prilikom pokušaja prijave na npmjs.com ili izvršenja autentificirane operacije u npm-u korisnost. U drugoj fazi omogućena je obavezna dvofaktorska autentifikacija za 100 najpopularnijih paketa.
Podsjetimo, prema studiji provedenoj 2020. godine, samo 9.27% održavatelja paketa koristilo je dvofaktorsku autentifikaciju za zaštitu pristupa, a u 13.37% slučajeva, prilikom registracije novih naloga, programeri su pokušali ponovo koristiti kompromitovane lozinke koje su se pojavile u poznatim lozinka curi. Tokom pregleda sigurnosti lozinke, 12% NPM naloga (13% paketa) je pristupljeno zbog upotrebe predvidljivih i trivijalnih lozinki kao što je „123456“. Među problematičnima su bila 4 korisnička naloga iz Top 20 najpopularnijih paketa, 13 naloga sa paketima koji se preuzimaju više od 50 miliona puta mesečno, 40 sa više od 10 miliona preuzimanja mesečno i 282 sa više od milion preuzimanja mesečno. Uzimajući u obzir učitavanje modula duž lanca zavisnosti, kompromitovanje nepouzdanih naloga može uticati na do 1% svih modula u NPM-u.
izvor: opennet.ru