El repositori NPM inclou l'autenticació obligatòria de dos factors per als comptes que mantenen els 500 paquets NPM més populars. El nombre de paquets dependents es va utilitzar com a criteri de popularitat. Els mantenedors dels paquets llistats només podran realitzar operacions relacionades amb modificacions al repositori només després d'habilitar l'autenticació de dos factors, que requereix confirmació d'inici de sessió mitjançant contrasenyes d'un sol ús (TOTP) generades per aplicacions com Authy, Google Authenticator i FreeOTP, o claus de maquinari i escàners biomètrics, compatibles amb el protocol WebAuth.
Aquesta és la tercera etapa d'enfortiment de la protecció de NPM contra el compromís de comptes. La primera etapa va implicar convertir tots els comptes NPM que no tenen l'autenticació de dos factors activada per utilitzar la verificació avançada del compte, que requereix introduir un codi únic enviat per correu electrònic quan s'intenta iniciar sessió a npmjs.com o realitzar una operació autenticada al npm. utilitat. En la segona fase, es va habilitar l'autenticació obligatòria de dos factors per als 100 paquets més populars.
Recordem que segons un estudi realitzat l'any 2020, només el 9.27% dels mantenedors de paquets utilitzaven l'autenticació de dos factors per protegir l'accés, i en el 13.37% dels casos, en registrar nous comptes, els desenvolupadors van intentar reutilitzar contrasenyes compromeses que apareixien en conegudes. fuites de contrasenyes. Durant una revisió de seguretat de contrasenyes, es va accedir al 12% dels comptes de NPM (13% dels paquets) a causa de l'ús de contrasenyes predictibles i trivials com ara "123456". Entre els més problemàtics hi havia 4 comptes d'usuari dels 20 paquets més populars, 13 comptes amb paquets descarregats més de 50 milions de vegades al mes, 40 amb més de 10 milions de descàrregues al mes i 282 amb més d'1 milió de descàrregues al mes. Tenint en compte la càrrega de mòduls al llarg d'una cadena de dependències, el compromís de comptes no fiables podria afectar fins al 52% de tots els mòduls de NPM.
Font: opennet.ru