U repositoriu NPM include l'autentificazione obligatoria à dui fattori per i cunti chì mantenenu i 500 pacchetti NPM più populari. U numaru di pacchetti dipendente hè stata utilizata cum'è un criteriu di popularità. I mantenitori di i pacchetti listati puderanu eseguisce operazioni relative à a modificazione in u repositoriu solu dopu avè attivatu l'autentificazione à dui fattori, chì richiede cunferma di login utilizendu password una volta (TOTP) generate da applicazioni cum'è Authy, Google Authenticator è FreeOTP, o chjavi hardware è scanners biometrici, chì sustene u protocolu WebAuth.
Questa hè a terza tappa di rinfurzà a prutezzione di NPM contr'à u cumprumissu di u contu. A prima tappa implicava a cunversione di tutti i cunti NPM chì ùn anu micca l'autentificazione à dui fattori attivati per utilizà a verificazione avanzata di u contu, chì richiede l'inserzione di un codice una volta mandatu per e-mail quandu pruvate di log in npmjs.com o fà una operazione autentificata in u npm. utilità. In a seconda fase, l'autentificazione obligatoria di dui fattori hè stata attivata per i 100 pacchetti più populari.
Ricurdemu chì secondu un studiu realizatu in 2020, solu u 9.27% di i mantene di pacchetti anu utilizatu l'autentificazione à dui fattori per prutege l'accessu, è in u 13.37% di i casi, quandu si registranu novi cunti, i sviluppatori anu pruvatu à riutilizà password cumprumessi chì apparsu in cunnisciuti. fughe di password. Durante una rivista di sicurezza di password, u 12% di i cunti NPM (13% di i pacchetti) sò stati accessu per via di l'usu di password prevedibili è triviali cum'è "123456". Trà i prublemi prublemi eranu 4 cunti d'utilizatori da u Top 20 pacchetti più populari, 13 cunti cù pacchetti scaricati più di 50 milioni di volte per mese, 40 cù più di 10 milioni di scaricamentu per mese, è 282 cù più di 1 milione di scaricamentu per mese. In cunsiderà a carica di moduli longu una catena di dependenzii, u cumprumissu di cunti micca fiduciati puderia influenzà finu à u 52% di tutti i moduli in NPM.
Source: opennet.ru